Katika maktaba ya LibKSBA, iliyotengenezwa na mradi wa GnuPG na kutoa vipengele vya kufanya kazi na vyeti vya X.509, udhaifu mkubwa umetambuliwa (CVE-2022-3515), na kusababisha wingi kamili na kuandika data kiholela zaidi ya bafa iliyotengwa wakati wa kuchanganua. Miundo ya ASN.1 inayotumika katika S/MIME, X.509 na CMS. Tatizo linazidishwa na ukweli kwamba maktaba ya Libksba inatumiwa katika kifurushi cha GnuPG na athari inaweza kusababisha utekelezaji wa msimbo wa mbali na mvamizi wakati GnuPG (gpgsm) inachakata data iliyosimbwa au iliyotiwa saini kutoka kwa faili au barua pepe kwa kutumia S/MIME. Katika hali rahisi, kushambulia mhasiriwa kwa kutumia mteja wa barua pepe unaotumia GnuPG na S/MIME, inatosha kutuma barua iliyoundwa mahususi.
Athari hii pia inaweza kutumika kushambulia seva za dirmngr zinazopakua na kuchanganua orodha za ubatilishaji vyeti (CRL) na kuthibitisha vyeti vinavyotumika katika TLS. Shambulio dhidi ya dirmngr linaweza kutekelezwa kutoka kwa seva ya wavuti inayodhibitiwa na mshambulizi, kupitia kurejesha CRL au vyeti vilivyoundwa mahususi. Imebainika kuwa matumizi yanayopatikana hadharani kwa gpgsm na dirmngr bado hayajatambuliwa, lakini udhaifu huo ni wa kawaida na hakuna kinachozuia washambuliaji waliohitimu kuandaa unyonyaji wao wenyewe.
Athari hii ilirekebishwa katika toleo la Libksba 1.6.2 na katika miundo binary ya GnuPG 2.3.8. Kwenye usambazaji wa Linux, maktaba ya Libksba kawaida hutolewa kama tegemezi tofauti, na kwenye muundo wa Windows imejengwa ndani ya kifurushi kikuu cha usakinishaji na GnuPG. Baada ya kusasisha, kumbuka kuanzisha upya michakato ya usuli kwa amri ya "gpgconf -kill all". Ili kuangalia uwepo wa tatizo katika matokeo ya amri ya "gpgconf -show-versions", unaweza kutathmini mstari "KSBA ....", ambayo lazima ionyeshe toleo la angalau 1.6.2.
Sasisho za usambazaji bado hazijatolewa, lakini unaweza kufuatilia upatikanaji wao kwenye kurasa: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Athari hii pia inapatikana katika MSI na vifurushi vya AppImage vilivyo na GnuPG VS-Desktop na katika Gpg4win.
Chanzo: opennet.ru