Дар китобхонаи LibKSBA, ки аз ҷониби лоиҳаи GnuPG таҳия шудааст ва функсияҳоро барои кор бо сертификатҳои X.509 таъмин мекунад, осебпазирии муҳим муайян карда шудааст (CVE-2022-3515), ки боиси фаромадани ададҳо ва навиштани маълумоти худсарона берун аз буфери ҷудошуда ҳангоми таҳлил мегардад Сохторҳои ASN.1 дар S / MIME, X.509 ва CMS истифода мешаванд. Мушкилот аз он иборат аст, ки китобхонаи Libksba дар бастаи GnuPG истифода мешавад ва осебпазирӣ метавонад ба иҷроиши коди фосилавӣ аз ҷониби ҳамлакунанда ҳангоми коркарди GnuPG (gpgsm) аз файлҳо ё паёмҳои почтаи электронӣ бо истифода аз S/MIME маълумоти рамзгузоришуда ё имзошуда оварда расонад. Дар соддатарин ҳолат, барои ҳамла ба ҷабрдида бо истифода аз муштарии почтаи электронӣ, ки GnuPG ва S/MIME-ро дастгирӣ мекунад, фиристодани мактуби махсус тарҳрезишуда кифоя аст.
Ин осебпазирӣ инчунин метавонад барои ҳамла ба серверҳои dirmngr, ки рӯйхати бекоркунии сертификатҳоро (CRLs) зеркашӣ ва таҳлил мекунанд ва сертификатҳои дар TLS истифодашударо тафтиш мекунанд, истифода шавад. Ҳамла ба dirmngr метавонад аз веб-сервере, ки ҳамлагар идора мекунад, тавассути баргардонидани CRL ё сертификатҳои махсус тарҳрезишуда анҷом дода шавад. Қайд карда мешавад, ки эксплойтҳои дастраси оммавӣ барои gpgsm ва dirmngr ҳанӯз муайян карда нашудаанд, аммо осебпазирӣ маъмулист ва ҳеҷ чиз ба ҳамлагарони соҳибихтисос барои мустақилона омода кардани истисмор монеъ намешавад.
Осебият дар версияи Libksba 1.6.2 ва дар биноҳои бинарии GnuPG 2.3.8 ислоҳ карда шуд. Дар тақсимоти Linux, китобхонаи Libksba одатан ҳамчун вобастагии алоҳида таъмин карда мешавад ва дар Windows сохтани он дар бастаи асосии насбкунӣ бо GnuPG сохта шудааст. Пас аз навсозӣ, фаромӯш накунед, ки равандҳои заминаро бо фармони "gpgconf -kill all" дубора оғоз кунед. Барои санҷидани мавҷудияти мушкилот дар баромади фармони "gpgconf –show-versions", шумо метавонед сатри "KSBA ...." -ро арзёбӣ кунед, ки версияи на камтар аз 1.6.2-ро нишон медиҳад.
Навсозиҳои тақсимот ҳанӯз нашр нашудаанд, аммо шумо метавонед дастрасии онҳоро дар саҳифаҳо пайгирӣ кунед: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Ин осебпазирӣ инчунин дар бастаҳои MSI ва AppImage бо GnuPG VS-Desktop ва дар Gpg4win мавҷуд аст.
Манбаъ: opennet.ru