In de LibKSBA-bibliotheek, ontwikkeld door het GnuPG-project en die functies biedt voor het werken met X.509-certificaten, is een kritieke kwetsbaarheid geïdentificeerd (CVE-2022-3515), wat leidt tot een overflow van gehele getallen en het schrijven van willekeurige gegevens buiten de toegewezen buffer bij het parseren ASN.1-structuren gebruikt in S/MIME, X.509 en CMS. Het probleem wordt verergerd door het feit dat de Libksba-bibliotheek wordt gebruikt in het GnuPG-pakket en de kwetsbaarheid kan leiden tot uitvoering van code op afstand door een aanvaller wanneer GnuPG (gpgsm) gecodeerde of ondertekende gegevens uit bestanden of e-mailberichten verwerkt met behulp van S/MIME. In het eenvoudigste geval is het voldoende om een speciaal ontworpen brief te sturen om een slachtoffer aan te vallen met een e-mailclient die GnuPG en S/MIME ondersteunt.
Het beveiligingslek kan ook worden gebruikt om dirmngr-servers aan te vallen die certificaatintrekkingslijsten (CRL's) downloaden en parseren en certificaten verifiëren die in TLS worden gebruikt. Een aanval op dirmngr kan worden uitgevoerd vanaf een webserver die wordt beheerd door een aanvaller, door het retourneren van speciaal ontworpen CRL's of certificaten. Opgemerkt wordt dat openbaar beschikbare exploits voor gpgsm en dirmngr nog niet zijn geïdentificeerd, maar de kwetsbaarheid is typisch en niets weerhoudt gekwalificeerde aanvallers ervan zelf een exploit voor te bereiden.
De kwetsbaarheid is opgelost in de Libksba 1.6.2-release en in de binaire builds van GnuPG 2.3.8. Op Linux-distributies wordt de Libksba-bibliotheek meestal geleverd als een afzonderlijke afhankelijkheid, en op Windows-builds wordt deze met GnuPG ingebouwd in het hoofdinstallatiepakket. Vergeet niet om na de update de achtergrondprocessen opnieuw te starten met de opdracht “gpgconf –kill all”. Om te controleren of er een probleem is in de uitvoer van de opdracht “gpgconf –show-versions”, kunt u de regel “KSBA ....” evalueren, die een versie van minimaal 1.6.2 moet aangeven.
Updates voor distributies zijn nog niet vrijgegeven, maar u kunt hun beschikbaarheid volgen op de pagina's: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. De kwetsbaarheid is ook aanwezig in de MSI- en AppImage-pakketten met GnuPG VS-Desktop en in Gpg4win.
Bron: opennet.ru