Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
GnuPG: nie używajcie naszego libgcrypt 1.9.0. Znaleziono poważną podatność: można prawdopodobnie wykonać kod w OS na systemie ofiary
Projekt GnuPG po 4 latach wypuścił nową, dużą wersję biblioteki libgcrypt. Jednak dość szybko okazało się że jest w niej naprawdę poważna podatność…
On 2021-01-28 Tavis Ormandy contacted us to report a severe bug in 1.9.0
which he found while testing GnuPG:
There is a heap buffer overflow in libgcrypt due to an incorrect
assumption in the block buffer management code. Just decrypting some
data can overflow a heap buffer with attacker controlled data, no
verification or signature is validated before the vulnerability
occurs.
Więc wygląda na to że można przesłać komuś odpowiednią informację do zdeszyfrowania – i na jego komputerze zostanie wykonany nasz kod.
Tutaj z kolej sam projekt wspomina, że podatność rzeczywiście jest exploitowalna.
Szczęście w nieszczęściu, podatna wersja nie została jeszcze szeroko rozpylona do dystrybucji Linuksa. Choć np. Gentoo zdążył ją zaanektować.
GnuPG wypuściło już poprawioną wersję libgcrypt – 1.9.1
–ms