GnuPG திட்டத்தால் உருவாக்கப்பட்ட மற்றும் X.509 சான்றிதழ்களுடன் பணிபுரிவதற்கான செயல்பாடுகளை வழங்கும் LibKSBA நூலகத்தில், ஒரு முக்கியமான பாதிப்பு கண்டறியப்பட்டது (CVE-2022-3515), இது முழு எண் வழிதல் மற்றும் பாகுபடுத்தும் போது ஒதுக்கப்பட்ட இடையகத்திற்கு அப்பால் தன்னிச்சையான தரவை எழுதுவதற்கு வழிவகுக்கிறது. ASN.1 கட்டமைப்புகள் S/MIME, X.509 மற்றும் CMS இல் பயன்படுத்தப்படுகின்றன. GnuPG தொகுப்பில் Libksba நூலகம் பயன்படுத்தப்படுவதாலும், S/MIME ஐப் பயன்படுத்தி கோப்புகள் அல்லது மின்னஞ்சல் செய்திகளிலிருந்து GnuPG (gpgsm) என்க்ரிப்ட் செய்யப்பட்ட அல்லது கையொப்பமிடப்பட்ட தரவைச் செயலாக்கும் போது, தாக்குதலாளியால் ரிமோட் குறியீடு செயல்படுத்துதலுக்கு இட்டுச் செல்லும் உண்மையால் சிக்கல் மோசமாகிறது. எளிமையான வழக்கில், GnuPG மற்றும் S/MIME ஐ ஆதரிக்கும் மின்னஞ்சல் கிளையண்டைப் பயன்படுத்தி பாதிக்கப்பட்டவரைத் தாக்க, சிறப்பாக வடிவமைக்கப்பட்ட கடிதத்தை அனுப்பினால் போதும்.
சான்றிதழைத் திரும்பப்பெறுதல் பட்டியல்களை (CRLகள்) பதிவிறக்கம் செய்து பாகுபடுத்தும் மற்றும் TLS இல் பயன்படுத்தப்படும் சான்றிதழ்களைச் சரிபார்க்கும் dirmngr சேவையகங்களைத் தாக்கவும் இந்த பாதிப்பு பயன்படுத்தப்படலாம். சிறப்பாக வடிவமைக்கப்பட்ட CRLகள் அல்லது சான்றிதழ்களை திருப்பியளிப்பதன் மூலம், தாக்குபவர்களால் கட்டுப்படுத்தப்படும் இணைய சேவையகத்திலிருந்து dirmngr மீதான தாக்குதலை மேற்கொள்ளலாம். gpgsm மற்றும் dirmngr க்கான பொதுவில் கிடைக்கும் சுரண்டல்கள் இன்னும் அடையாளம் காணப்படவில்லை என்பது குறிப்பிடத்தக்கது, ஆனால் பாதிப்பு பொதுவானது மற்றும் தகுதிவாய்ந்த தாக்குபவர்கள் தாங்களாகவே சுரண்டலைத் தயாரிப்பதில் இருந்து எதுவும் தடுக்கவில்லை.
Libksba 1.6.2 வெளியீட்டிலும் GnuPG 2.3.8 பைனரி பில்ட்களிலும் பாதிப்பு சரி செய்யப்பட்டது. லினக்ஸ் விநியோகங்களில், Libksba நூலகம் பொதுவாக ஒரு தனி சார்புநிலையாக வழங்கப்படுகிறது, மேலும் Windows பில்ட்களில் இது GnuPG உடன் முக்கிய நிறுவல் தொகுப்பில் கட்டமைக்கப்படுகிறது. புதுப்பித்த பிறகு, "gpgconf -kill all" கட்டளையுடன் பின்னணி செயல்முறைகளை மறுதொடக்கம் செய்ய நினைவில் கொள்ளுங்கள். "gpgconf -show-versions" கட்டளையின் வெளியீட்டில் சிக்கல் இருப்பதைச் சரிபார்க்க, நீங்கள் "KSBA ...." என்ற வரியை மதிப்பீடு செய்யலாம், இது குறைந்தபட்சம் 1.6.2 இன் பதிப்பைக் குறிக்க வேண்டும்.
விநியோகங்களுக்கான புதுப்பிப்புகள் இன்னும் வெளியிடப்படவில்லை, ஆனால் டெபியன், உபுண்டு, ஜென்டூ, RHEL, SUSE, Arch, FreeBSD ஆகிய பக்கங்களில் அவற்றின் கிடைக்கும் தன்மையை நீங்கள் கண்காணிக்கலாம். GnuPG VS-Desktop மற்றும் Gpg4win உடன் MSI மற்றும் AppImage தொகுப்புகளிலும் பாதிப்பு உள்ளது.
ஆதாரம்: opennet.ru