Sa library ng LibKSBA, na binuo ng proyekto ng GnuPG at nagbibigay ng mga function para sa pagtatrabaho sa mga X.509 na certificate, isang kritikal na kahinaan ang natukoy (CVE-2022-3515), na humahantong sa isang integer overflow at pagsulat ng arbitrary na data na lampas sa inilalaang buffer kapag nag-parse Mga istrukturang ASN.1 na ginagamit sa S/MIME, X.509 at CMS. Ang problema ay pinalala ng katotohanan na ang Libksba library ay ginagamit sa GnuPG package at ang kahinaan ay maaaring humantong sa remote code execution ng isang attacker kapag ang GnuPG (gpgsm) ay nagpoproseso ng naka-encrypt o naka-sign na data mula sa mga file o email na mensahe gamit ang S/MIME. Sa pinakasimpleng kaso, upang atakehin ang isang biktima gamit ang isang email client na sumusuporta sa GnuPG at S/MIME, sapat na upang magpadala ng isang espesyal na idinisenyong sulat.
Magagamit din ang kahinaan para atakehin ang mga dirmngr server na nagda-download at nag-parse ng mga certificate revocation list (CRL) at nagbe-verify ng mga certificate na ginamit sa TLS. Ang isang pag-atake sa dirmngr ay maaaring isagawa mula sa isang web server na kinokontrol ng isang umaatake, sa pamamagitan ng pagbabalik ng mga espesyal na idinisenyong CRL o mga sertipiko. Napansin na ang mga pagsasamantalang magagamit sa publiko para sa gpgsm at dirmngr ay hindi pa natukoy, ngunit ang kahinaan ay karaniwan at walang pumipigil sa mga kwalipikadong umaatake na maghanda ng pagsasamantala sa kanilang sarili.
Naayos ang kahinaan sa Libksba 1.6.2 release at sa GnuPG 2.3.8 binary build. Sa mga pamamahagi ng Linux, ang Libksba library ay karaniwang ibinibigay bilang isang hiwalay na dependency, at sa mga build ng Windows ito ay binuo sa pangunahing pakete ng pag-install na may GnuPG. Pagkatapos ng update, tandaan na i-restart ang mga proseso sa background gamit ang command na "gpgconf βkill all". Upang suriin kung may problema sa output ng command na "gpgconf βshow-versions", maaari mong suriin ang linyang "KSBA ....", na dapat magpahiwatig ng bersyon ng hindi bababa sa 1.6.2.
Ang mga update para sa mga pamamahagi ay hindi pa nailalabas, ngunit maaari mong subaybayan ang kanilang kakayahang magamit sa mga pahina: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Ang kahinaan ay naroroon din sa mga pakete ng MSI at AppImage na may GnuPG VS-Desktop at sa Gpg4win.
Pinagmulan: opennet.ru