Een kwetsbaarheid in LibKSBA maakt uitvoering van code mogelijk in GnuPG

Darkcrizt

4 minuten

kwetsbaarheid

Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken

Het nieuws brak onlangs dat het was kritieke kwetsbaarheid geïdentificeerd (al gecatalogiseerd onder CVE-2022-3515 en dat het een oplossing heeft) in de LibKSBA-bibliotheek, ontwikkeld door het GnuPG-project en biedt functies voor het werken met X.509-certificaten.

De gevonden bug veroorzaakt overloop van gehele getallen en schrijven van willekeurige gegevens uit de toegewezen buffer bij het ontleden van ASN .1-structuren die worden gebruikt in S/MIME, X.509 en CMS.

Wat ervoor zorgt dat de kwetsbaarheid de waarde "kritiek" krijgt, is dat: het probleem wordt verergerd door het feit dat de bibliotheek Libksba wordt gebruikt in het GnuPG-pakket en de kwetsbaarheid kan leiden tot uitvoering van externe code van de aanvaller wanneer GnuPG (gpgsm) versleutelde of ondertekende gegevens uit bestanden of e-mailberichten verwerkt met S/MIME. In het eenvoudigste geval, om een ​​slachtoffer aan te vallen met een e-mailclient die GnuPG en S/MIME ondersteunt, volstaat het om een ​​speciaal opgemaakte e-mail te verzenden.

Er is een ernstige bug gevonden in Libksba , de bibliotheek die door GnuPG wordt gebruikt om ASN.1-structuren te ontleden zoals gebruikt door S/MIME. 

Kwetsbaarheid kan ook worden gebruikt om dirmngr-servers aan te vallen die Certificate Revocation Lists (CRL's) downloaden en parseren en certificaten verifiëren die in TLS worden gebruikt. Een door een aanvaller bestuurde webserver kan een aanval uitvoeren op dirmngr door CRL's of speciaal vervaardigde certificaten te retourneren.

Cabe señalar que openbaar beschikbare exploits voor gpgsm en dirmngr moeten nog worden geïdentificeerd, maar de kwetsbaarheid is typisch en niets verhindert ervaren aanvallers om zelf een exploit voor te bereiden.

De hoofdgebruiker van Libksba is gpgsm , het S/MIME-neefje van gpg . Daar wordt het gebruikt om allerlei invoergegevens te analyseren, met name ondertekende of versleutelde gegevens in bestanden of e-mails. Daarom kan het gemakkelijk worden om een ​​gebruiker schadelijke gegevens te verstrekken.

Een tweede gebruiker van Libksba is dirmngr , die verantwoordelijk is voor het laden en ontleden van certificaatintrekkingslijsten (CRL's) en het verifiëren van certificaten die door TLS worden gebruikt (dwz https-verbindingen). Het opzetten van een aanval is iets ingewikkelder, maar het kan nog steeds eenvoudig worden gedaan door een malafide webserver te gebruiken om een ​​directory met websleutels, certificaten of CRL's te dienen.

Van de betrokken partijen het volgende wordt gemeld voor de kwetsbaarheid:

  • De meeste software met Libksba-versies tot 1.6.1
  • Alle versies van Gpg4win van versie 2.0.0 tot 4.0.3
  • Alle versies van GnuPG VS-Desktop® van 3.1.16 tot 3.1.24
  • Alle GnuPG-installatieprogramma's voor Windows van versie 2.3.0 tot 2.3.7
  • Alle GnuPG LTS-installatieprogramma's voor Windows van versie 2.1.0 tot 2.2.39

Zoals in het begin al vermeld de kwetsbaarheid was al verholpen in de Libksba 1.6.2-versie en in binaire builds GnuPG 2.3.8, aangezien sinds de storing werd gemeld, een respijtperiode wordt gegeven zodat de nodige correcties kunnen worden aangebracht vóór de bekendmaking ervan.

Op Linux-distributies wordt de Libksba-bibliotheek meestal geleverd als een afzonderlijke afhankelijkheid, maar bij Windows-builds is deze geïntegreerd in het hoofdinstallatiepakket van GnuPG.

Het is vermeldenswaard dat voor gebruikers die de relevante updates al hebben uitgevoerd, het wordt aanbevolen dat ze niet vergeten de achtergrondprocessen opnieuw te starten met het commando "gpgconf –kill all". Om te controleren op een probleem in de uitvoer van de opdracht “gpgconf –show-versions”, kunt u ook de waarde van de regel “KSBA ….” evalueren, die een versie van ten minste 1.6.2 moet aangeven.

De updates voor distributies zijn nog niet vrijgegeven, maar u kunt het uiterlijk volgen op de pagina's: DebianUbuntuGentooRHELSUSEboogFreeBSD. De kwetsbaarheid is ook aanwezig in de MSI- en AppImage-pakketten met GnuPG VS-Desktop en in Gpg4win.

Eindelijk voor degenen die dat wel zijn Geïnteresseerd om er meer over te leren, kunt u de details controleren In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   reflex zei
    geleden Tot 2 jaar

    Mijn Debian Bullseye-systeem ontving de beveiligingsupdate op 17-10 met libksba versie 1.5.0-3+deb11u1

    reageer op reflex