د LibKSBA کتابتون کې، چې د GnuPG پروژې لخوا رامینځته شوی او د X.509 سندونو سره کار کولو لپاره دندې چمتو کوي، یو مهم زیانمنونکی پیژندل شوی (CVE-2022-3515)، چې د انټیجر ډیریدو لامل کیږي او د تخصیص شوي بفر څخه هاخوا خپلمنځي ډاټا لیکل کیږي ASN.1 جوړښتونه چې په S/MIME، X.509 او CMS کې کارول کیږي. ستونزه د دې حقیقت له امله زیاته شوې چې د Libksba کتابتون په GnuPG کڅوړه کې کارول کیږي او زیانمنتیا د برید کونکي لخوا د ریموټ کوډ اجرا کولو لامل کیدی شي کله چې GnuPG (gpgsm) د S/MIME په کارولو سره د فایلونو یا بریښنالیک پیغامونو څخه کوډ شوي یا لاسلیک شوي ډیټا پروسس کوي. په ساده حالت کې، د یو بریښنالیک پیرودونکي په کارولو سره د قرباني برید لپاره چې د GnuPG او S/MIME ملاتړ کوي، دا کافی دی چې یو ځانګړي ډیزاین شوی لیک واستوي.
زیانمنتیا د dirmngr سرورونو برید لپاره هم کارول کیدی شي چې د سند ردولو لیستونه (CRLs) ډاونلوډ او پارس کوي او په TLS کې کارول شوي سندونه تاییدوي. په dirmngr باندې برید د برید کونکي لخوا کنټرول شوي ویب سرور څخه ترسره کیدی شي ، د ځانګړي ډیزاین شوي CRLs یا سندونو بیرته راستنیدو له لارې. د یادونې وړ ده چې د gpgsm او dirmngr لپاره په عامه توګه شتون لرونکي استخراجونه تر اوسه ندي پیژندل شوي، مګر زیانمنتیا معمول دی او هیڅ شی د وړ برید کونکو مخه نه نیسي چې پخپله د استثمار چمتو کولو مخه ونیسي.
زیانمنتیا په لیبکسبا 1.6.2 ریلیز کې او په GnuPG 2.3.8 بائنری جوړونو کې ټاکل شوې وه. د لینکس توزیعونو کې ، د لیبکسبا کتابتون معمولا د جلا انحصار په توګه چمتو کیږي ، او په وینډوز جوړونه کې دا د GnuPG سره اصلي نصب کولو کڅوړه کې رامینځته شوی. د تازه کولو وروسته، په یاد ولرئ چې د "gpgconf -kill all" کمانډ سره د شالید پروسې بیا پیل کړئ. د "gpgconf -show-versions" کمانډ په محصول کې د ستونزې شتون چیک کولو لپاره، تاسو کولی شئ د "KSBA ..." کرښه ارزونه وکړئ، کوم چې باید لږترلږه د 1.6.2 نسخه په ګوته کړي.
د توزیع لپاره تازه معلومات لاهم ندي خپاره شوي، مګر تاسو کولی شئ د دوی شتون په پاڼو کې تعقیب کړئ: Debian، Ubuntu، Gentoo، RHEL، SUSE، Arch، FreeBSD. زیانمنتیا په MSI او AppImage کڅوړو کې د GnuPG VS-Desktop سره او په Gpg4win کې هم شتون لري.
سرچینه: opennet.ru