I LibKSBA-biblioteket, utvecklat av GnuPG-projektet och tillhandahåller funktioner för att arbeta med X.509-certifikat, har en kritisk sårbarhet identifierats (CVE-2022-3515), vilket leder till ett heltalsspill och skrivning av godtycklig data bortom den allokerade bufferten vid analys ASN.1-strukturer som används i S/MIME, X.509 och CMS. Problemet förvärras av att Libksba-biblioteket används i GnuPG-paketet och sårbarheten kan leda till fjärrkörning av kod av en angripare när GnuPG (gpgsm) behandlar krypterad eller signerad data från filer eller e-postmeddelanden med hjälp av S/MIME. I det enklaste fallet, för att attackera ett offer med hjälp av en e-postklient som stöder GnuPG och S/MIME, räcker det med att skicka ett specialdesignat brev.
Sårbarheten kan också användas för att attackera dirmngr-servrar som laddar ner och analyserar listor för återkallande av certifikat (CRL) och verifierar certifikat som används i TLS. En attack på dirmngr kan utföras från en webbserver som kontrolleras av en angripare, genom retur av specialdesignade CRL:er eller certifikat. Det noteras att allmänt tillgängliga exploateringar för gpgsm och dirmngr ännu inte har identifierats, men sårbarheten är typisk och ingenting hindrar kvalificerade angripare från att förbereda en exploatering på egen hand.
Sårbarheten fixades i Libksba 1.6.2-versionen och i GnuPG 2.3.8 binära versioner. På Linux-distributioner levereras Libksba-biblioteket vanligtvis som ett separat beroende, och på Windows-byggen är det inbyggt i huvudinstallationspaketet med GnuPG. Efter uppdateringen, kom ihåg att starta om bakgrundsprocesser med kommandot "gpgconf –kill all". För att kontrollera om det finns ett problem i utmatningen av kommandot “gpgconf –show-versions”, kan du utvärdera raden “KSBA ....”, som måste ange en version av minst 1.6.2.
Uppdateringar för distributioner har ännu inte släppts, men du kan spåra deras tillgänglighet på sidorna: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Sårbarheten finns också i MSI- och AppImage-paketen med GnuPG VS-Desktop och i Gpg4win.
Källa: opennet.ru