Недавно появилась новость о том, что обнаружена критическая уязвимость (уже внесен в каталог CVE-2022-3515 и имеет решение) в библиотеке LibKSBA, разработанный проектом GnuPG и предоставляющий функции для работы с сертификатами X.509.
Ошибка найдена вызывает целочисленное переполнение и запись произвольных данных из выделенного буфера при анализе структур ASN .1, используемых в S/MIME, X.509 и CMS.
Что заставляет уязвимость принимать значение «критическая», так это то, что проблема усугубляется тот факт, что библиотека Libksba используется в пакете GnuPG, и уязвимость может привести к удаленному выполнению кода. от злоумышленника, когда GnuPG (gpgsm) обрабатывает зашифрованные или подписанные данные из файлов или сообщений электронной почты с использованием S/MIME. В простейшем случае для атаки на жертву с помощью почтового клиента, поддерживающего GnuPG и S/MIME, достаточно отправить специально отформатированное письмо.
Серьезная ошибка была обнаружена в Libksba, библиотеке, используемой GnuPG для разбора структур ASN.1, используемых S/MIME.
Уязвимость также может быть использован для атаки серверов dirmngr которые загружают и анализируют списки отзыва сертификатов (CRL) и проверяют сертификаты, используемые в TLS. Подконтрольный злоумышленнику веб-сервер может атаковать dirmngr, возвращая CRL или специально созданные сертификаты.
Обратите внимание, что общедоступные эксплойты для gpgsm и dirmngr еще не идентифицированы, но уязвимость типична и ничто не мешает опытным злоумышленникам подготовить эксплойт самостоятельно.
Основным пользователем Libksba является gpgsm, S/MIME-двоюродный брат gpg. Там он используется для анализа всех видов входных данных, в частности, подписанных или зашифрованных данных в файлах или электронных письмах. Таким образом, можно легко передать пользователю вредоносные данные.
Вторым пользователем Libksba является dirmngr, который отвечает за загрузку и анализ списков отзыва сертификатов (CRL) и проверку сертификатов, используемых TLS (т. е. соединений https). Установка атаки немного сложнее, но ее все же можно легко выполнить, используя мошеннический веб-сервер для обслуживания каталога веб-ключей, сертификатов или CRL.
Из затронутых сторон для уязвимости сообщается следующее:
- Большинство программ, использующих версии Libksba до 1.6.1
- Все версии Gpg4win с версии 2.0.0 до 4.0.3
- Все версии GnuPG VS-Desktop® с 3.1.16 по 3.1.24
- Все установщики GnuPG для Windows с версии 2.3.0 до 2.3.7
- Все установщики GnuPG LTS для Windows с версии 2.1.0 до 2.2.39
Как уже упоминалось в начале уязвимость уже была исправлена в версии Libksba 1.6.2 и в бинарных сборках ГнуПГ 2.3.8, поскольку с момента сообщения о сбое дается льготный период, чтобы можно было внести необходимые исправления до его раскрытия.
В дистрибутивах Linux библиотека Libksba обычно предоставляется как отдельная зависимость, но в сборках Windows она интегрирована в основной установочный пакет GnuPG.
Стоит отметить, что пользователям, уже выполнившим соответствующие обновления, рекомендуется не забыть перезапустить фоновые процессы командой «gpgconf –kill all». Также для проверки наличия проблемы в выводе команды «gpgconf –show-versions» можно оценить значение строки «KSBA….», в которой должна быть указана версия не ниже 1.6.2.
Лас- обновления для дистрибутивов еще не выпущены, но вы можете следить за его появлением на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Арка y FreeBSD. Уязвимость также присутствует в пакетах MSI и AppImage с GnuPG VS-Desktop и в Gpg4win.
Наконец, для тех, кто Интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.
Моя система Debian Bullseye получила обновление безопасности 17 октября с libksba версии 10-1.5.0+deb3u11.