У бібліотеці LibKSBA, що розвивається проектом GnuPG і надає функції для роботи з сертифікатами X.509, виявлена критична вразливість (CVE-2022-3515), що призводить до цілісного переповнення та запису довільних даних за межі виділеного буфера при розборі структур ASN.1, що використовуються S/MIME, X.509 та CMS. Проблема ускладнюється тим, що бібліотека Libksba використовується в пакеті GnuPG і вразливість може призвести до віддаленого виконання коду атакуючого при обробці GnuPG (gpgsm) зашифрованих або підписаних даних з файлів або поштових повідомлень, які використовують S/MIME. У найпростішому випадку для атаки на жертву, яка використовує поштовий клієнт з підтримкою GnuPG та S/MIME, достатньо надіслати спеціально оформлений лист.
Вразливість також може використовуватися для атаки на сервери dirmngr, що займаються завантаженням та розбором списків відкликаних сертифікатів (CRLs) та верифікацією сертифікатів, що застосовуються у TLS. Атака на dirmngr може бути здійснена з боку web-сервера, підконтрольного зловмиснику через віддачу спеціально оформлених CRL або сертифікатів. Зазначається, що публічно доступних експлоїтів для gpgsm та dirmngr поки не виявлено, але вразливість типова і ні що не заважає кваліфікованим атакуючим підготувати експлоїт самостійно.
Уразливість усунена у випуску Libksba 1.6.2 та у бінарних збірках GnuPG 2.3.8. У дистрибутивах Linux бібліотека Libksba зазвичай постачається у вигляді окремої залежності, а в збірках для Windows вбудована в основний інсталяційний пакет з GnuPG. Після оновлення слід не забути перезапустити фонові процеси командою gpgconf -kill all. Для перевірки присутності проблеми у виведенні команди «gpgconf — show-versions» можна оцінити значення рядка «KSBA ….», в якому має бути вказана версія не нижче 1.6.2.
Оновлення для дистрибутивів поки що не випущені, але простежити їх появою можна на сторінках: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD. Вразливість також присутня в пакетах MSI та AppImage з GnuPG VS-Desktop та Gpg4win.
Джерело: opennet.ru