Niedawno pojawiła się wiadomość, że tak było zidentyfikowano krytyczną podatność (już skatalogowany pod CVE-2022-3515 i że ma rozwiązanie) w bibliotece LibKSBA, opracowany przez projekt GnuPG i udostępniający funkcje do pracy z certyfikatami X.509.
Znaleziono błąd powoduje przepełnienie liczb całkowitych i zapis dowolnych danych z przydzielonego bufora podczas analizowania struktur ASN .1 używanych w S/MIME, X.509 i CMS.
To, co sprawia, że luka ma wartość „krytyczną”, to fakt: problem pogarsza fakt, że biblioteka Libksba jest używana w pakiecie GnuPG, a luka może prowadzić do zdalnego wykonania kodu od atakującego, gdy GnuPG (gpgsm) przetwarza zaszyfrowane lub podpisane dane z plików lub wiadomości e-mail przy użyciu S/MIME. W najprostszym przypadku, aby zaatakować ofiarę za pomocą klienta pocztowego obsługującego GnuPG i S/MIME, wystarczy wysłać specjalnie sformatowaną wiadomość e-mail.
Poważny błąd został znaleziony w Libksba , bibliotece używanej przez GnuPG do analizowania struktur ASN.1 używanej przez S/MIME.
Słaby punkt może być również używany do atakowania serwerów dirmngr które pobierają i analizują listy odwołań certyfikatów (CRL) oraz weryfikują certyfikaty używane w protokole TLS. Kontrolowany przez atakującego serwer sieciowy może przeprowadzić atak na dirmngr, zwracając listy CRL lub specjalnie spreparowane certyfikaty.
Należy zauważyć, że publicznie dostępne exploity dla gpgsm i dirmngr nie zostały jeszcze zidentyfikowane, ale luka jest typowa i nic nie stoi na przeszkodzie, aby wprawni atakujący samodzielnie przygotowali exploita.
Głównym użytkownikiem Libksby jest gpgsm , kuzyn S/MIME gpg . Tam służy do analizy wszelkiego rodzaju danych wejściowych, w szczególności podpisanych lub zaszyfrowanych danych w plikach lub wiadomościach e-mail. W związku z tym można łatwo osiągnąć karmienie użytkownika złośliwymi danymi.
Drugim użytkownikiem Libksby jest dirmngr , który odpowiada za ładowanie i parsowanie list odwołania certyfikatów (CRL) oraz weryfikację certyfikatów używanych przez TLS (tj. połączenia https). Montaż ataku jest nieco bardziej złożony, ale nadal można go łatwo przeprowadzić, używając nieuczciwego serwera internetowego do obsługi katalogu kluczy internetowych, certyfikatów lub list CRL.
Spośród zainteresowanych stron w przypadku luki zgłaszane są następujące informacje:
- Większość oprogramowania korzysta z wersji Libksba do 1.6.1
- Wszystkie wersje Gpg4win od wersji 2.0.0 do 4.0.3
- Wszystkie wersje GnuPG VS-Desktop® od 3.1.16 do 3.1.24
- Wszystkie instalatory GnuPG dla Windows od wersji 2.3.0 do 2.3.7
- Wszystkie instalatory GnuPG LTS dla Windows od wersji 2.1.0 do 2.2.39
Jak już wspomniałem na początku usterka została już naprawiona w wersji Libksba 1.6.2 oraz w kompilacjach binarnych GnuPG 2.3.8, ponieważ od momentu zgłoszenia awarii udzielany jest okres karencji, aby można było dokonać niezbędnych poprawek przed jej ujawnieniem.
W dystrybucjach Linuksa biblioteka Libksba jest zwykle dostarczana jako osobna zależność, ale w kompilacjach Windows jest zintegrowana z głównym pakietem instalacyjnym GnuPG.
Warto wspomnieć, że użytkownikom, którzy wykonali już odpowiednie aktualizacje, zaleca się, aby nie zapomnieli zrestartować procesów w tle za pomocą polecenia „gpgconf –kill all”. Ponadto, aby sprawdzić, czy nie wystąpił problem w wynikach polecenia „gpgconf –show-versions”, możesz ocenić wartość wiersza „KSBA….”, która powinna wskazywać na wersję co najmniej 1.6.2.
Te aktualizacje dla dystrybucji nie zostały jeszcze wydane, ale możesz śledzić jego wygląd na stronach: Debian, Ubuntu, Gentoo, RHEL, SUSE, łuk y FreeBSD. Luka występuje również w pakietach MSI i AppImage z GnuPG VS-Desktop oraz w Gpg4win.
Wreszcie dla tych, którzy są Chcesz dowiedzieć się więcej na ten temat, możesz sprawdzić szczegóły W poniższym linku.
Mój system Debian Bullseye otrzymał aktualizację bezpieczeństwa 17/10 z libksba w wersji 1.5.0-3+deb11u1