W bibliotece LibKSBA opracowanej w ramach projektu GnuPG i udostępniającej funkcje do pracy z certyfikatami X.509 zidentyfikowano krytyczną lukę (CVE-2022-3515), która powoduje przepełnienie liczb całkowitych i zapisanie dowolnych danych poza przydzielonym buforem podczas analizowania Struktury ASN.1 stosowane w S/MIME, X.509 i CMS. Problem pogłębia fakt, że w pakiecie GnuPG używana jest biblioteka Libksba, a luka może doprowadzić do zdalnego wykonania kodu przez osobę atakującą, gdy GnuPG (gpgsm) przetwarza zaszyfrowane lub podpisane dane z plików lub wiadomości e-mail przy użyciu protokołu S/MIME. W najprostszym przypadku, aby zaatakować ofiarę za pomocą klienta pocztowego obsługującego GnuPG i S/MIME, wystarczy wysłać specjalnie zaprojektowany list.
Lukę można również wykorzystać do ataku na serwery dirmngr, które pobierają i analizują listy odwołań certyfikatów (CRL) oraz weryfikują certyfikaty używane w protokole TLS. Atak na dirmngr może zostać przeprowadzony z serwera WWW kontrolowanego przez atakującego, poprzez zwrot specjalnie zaprojektowanych list CRL lub certyfikatów. Należy zauważyć, że nie zidentyfikowano jeszcze publicznie dostępnych exploitów dla gpgsm i dirmngr, jednak luka jest typowa i nic nie stoi na przeszkodzie, aby wykwalifikowani atakujący mogli samodzielnie przygotować exploita.
Luka została naprawiona w wersji Libksba 1.6.2 oraz w binarnych kompilacjach GnuPG 2.3.8. W dystrybucjach Linuksa biblioteka Libksba jest zwykle dostarczana jako osobna zależność, a w kompilacjach systemu Windows jest wbudowana w główny pakiet instalacyjny z GnuPG. Po aktualizacji pamiętaj o zrestartowaniu procesów w tle komendą „gpgconf –kill all”. Aby sprawdzić obecność problemu w wynikach polecenia „gpgconf –show-versions”, możesz sprawdzić wiersz „KSBA ....”, który musi wskazywać wersję co najmniej 1.6.2.
Aktualizacje dla dystrybucji nie zostały jeszcze wydane, ale ich dostępność można śledzić na stronach: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Luka występuje także w pakietach MSI i AppImage z GnuPG VS-Desktop oraz w Gpg4win.
Źródło: opennet.ru