Una vulnerabilità in LibKSBA consente l'esecuzione di codice in GnuPG

La notizia è stata recentemente diffusa che lo era vulnerabilità critica individuata (già catalogato sotto CVE-2022-3515 e che ha una soluzione) nella libreria LibKSBA, sviluppato dal progetto GnuPG e che fornisce funzioni per lavorare con i certificati X.509.

Il bug trovato provoca l'overflow di interi e la scrittura di dati arbitrari dal buffer allocato durante l'analisi delle strutture ASN .1 utilizzate in S/MIME, X.509 e CMS.

Ciò che fa assumere alla vulnerabilità il valore di "critico" è questo il problema è aggravato da il fatto che la biblioteca Libksba viene utilizzato nel pacchetto GnuPG e la vulnerabilità potrebbe portare all'esecuzione di codice in modalità remota dall'attaccante quando GnuPG (gpgsm) elabora dati crittografati o firmati da file o messaggi di posta elettronica utilizzando S/MIME. Nel caso più semplice, per attaccare una vittima utilizzando un client di posta che supporti GnuPG e S/MIME, è sufficiente inviare un'e-mail appositamente formattata.

Un grave bug è stato trovato in Libksba , la libreria usata da GnuPG per analizzare le strutture ASN.1 usate da S/MIME. 

Vulnerabilità potrebbe anche essere usato per attaccare i server dirmngr che scaricano e analizzano gli elenchi di revoche di certificati (CRL) e verificano i certificati utilizzati in TLS. Un server Web controllato da un utente malintenzionato può eseguire un attacco a dirmngr, restituendo CRL o certificati appositamente predisposti.

Notare che gli exploit disponibili pubblicamente per gpgsm e dirmngr devono ancora essere identificati, ma la vulnerabilità è tipica e nulla impedisce agli aggressori esperti di preparare un exploit da soli.

L'utente principale di Libksba è gpgsm, il cugino S/MIME di gpg. Lì viene utilizzato per analizzare tutti i tipi di dati di input, in particolare i dati firmati o crittografati in file o e-mail. Pertanto, è possibile fornire facilmente a un utente dati dannosi.

Un secondo utente di Libksba è dirmngr , che è responsabile del caricamento e dell'analisi degli elenchi di revoche dei certificati (CRL) e della verifica dei certificati utilizzati da TLS (ad esempio connessioni https). Montare un attacco è un po' più complesso, ma può comunque essere eseguito facilmente utilizzando un server Web canaglia per servire una directory di chiavi Web, certificati o CRL.

Delle parti interessate per la vulnerabilità vengono segnalati:

• La maggior parte dei software che utilizzano versioni di Libksba fino alla 1.6.1
• Tutte le versioni di Gpg4win dalla versione 2.0.0 alla 4.0.3
• Tutte le versioni di GnuPG VS-Desktop® dalla 3.1.16 alla 3.1.24
• Tutti i programmi di installazione di GnuPG per Windows dalla versione 2.3.0 alla 2.3.7
• Tutti i programmi di installazione di GnuPG LTS per Windows dalla versione 2.1.0 alla 2.2.39

Come già accennato all'inizio la vulnerabilità era già stata risolta nella versione Libksba 1.6.2 e nelle build binarie GnuPG 2.3.8, poiché dalla denuncia dell'inadempimento viene concesso un periodo di grazia affinché possano essere apportate le necessarie correzioni prima della sua divulgazione.

Nelle distribuzioni Linux, la libreria Libksba è solitamente fornita come dipendenza separata, ma nelle build Windows è integrata nel pacchetto di installazione principale di GnuPG.

Vale la pena ricordare che per gli utenti che hanno già eseguito i relativi aggiornamenti, si raccomanda di non dimenticare di riavviare i processi in background con il comando “gpgconf –kill all”. Inoltre, per verificare la presenza di un problema nell'output del comando “gpgconf –show-versions”, è possibile valutare il valore della riga “KSBA…”, che dovrebbe indicare una versione almeno 1.6.2.

Le gli aggiornamenti per le distribuzioni non sono stati ancora rilasciati, ma potete seguirne l'apparizione nelle pagine: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arco y FreeBSD. La vulnerabilità è presente anche nei pacchetti MSI e AppImage con GnuPG VS-Desktop e in Gpg4win.

Finalmente per chi lo è Interessato a saperne di più, puoi controllare i dettagli nel seguente link