Na biblioteca LibKSBA, desenvolvida pelo projeto GnuPG e que fornece funções para trabalhar com certificados X.509, foi identificada uma vulnerabilidade crítica (CVE-2022-3515), levando a um estouro de número inteiro e gravação de dados arbitrários além do buffer alocado durante a análise Estruturas ASN.1 usadas em S/MIME, X.509 e CMS. O problema é agravado pelo fato de a biblioteca Libksba ser usada no pacote GnuPG e a vulnerabilidade poder levar à execução remota de código por um invasor quando o GnuPG (gpgsm) processa dados criptografados ou assinados de arquivos ou mensagens de e-mail usando S/MIME. No caso mais simples, para atacar uma vítima usando um cliente de e-mail que suporte GnuPG e S/MIME, basta enviar uma carta especialmente elaborada.
A vulnerabilidade também pode ser usada para atacar servidores dirmngr que baixam e analisam listas de revogação de certificados (CRLs) e verificam certificados usados em TLS. Um ataque ao dirmngr pode ser realizado a partir de um servidor web controlado por um invasor, por meio do retorno de CRLs ou certificados especialmente projetados. Observa-se que explorações publicamente disponíveis para gpgsm e dirmngr ainda não foram identificadas, mas a vulnerabilidade é típica e nada impede que invasores qualificados preparem uma exploração por conta própria.
A vulnerabilidade foi corrigida na versão Libksba 1.6.2 e nas compilações binárias do GnuPG 2.3.8. Nas distribuições Linux, a biblioteca Libksba geralmente é fornecida como uma dependência separada e, nas compilações do Windows, ela é incorporada ao pacote de instalação principal com o GnuPG. Após a atualização, lembre-se de reiniciar os processos em segundo plano com o comando “gpgconf –kill all”. Para verificar a presença de algum problema na saída do comando “gpgconf –show-versions”, você pode avaliar a linha “KSBA ....”, que deve indicar uma versão de pelo menos 1.6.2.
As atualizações para distribuições ainda não foram lançadas, mas você pode acompanhar sua disponibilidade nas páginas: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. A vulnerabilidade também está presente nos pacotes MSI e AppImage com GnuPG VS-Desktop e no Gpg4win.
Fonte: opennet.ru