GnuPG: nie używajcie naszego libgcrypt 1.9.0. Znaleziono poważną podatność: można prawdopodobnie wykonać kod w OS na systemie ofiary

Projekt GnuPG po 4 latach wypuścił nową, dużą wersję biblioteki libgcrypt. Jednak dość szybko okazało się że jest w niej naprawdę poważna podatność…

Please do not use 1.9.0 but use the just released 1.9.1. There is a severe bug in 1.9.0 which was found yesterday. 1.8 versions are safe. Details will follow today. (#gnupg, #libgcrypt, #cve).

— GNU Privacy Guard (@gnupg) January 29, 2021

Tutaj czytamy:

On 2021-01-28 Tavis Ormandy contacted us to report a severe bug in 1.9.0
which he found while testing GnuPG:

There is a heap buffer overflow in libgcrypt due to an incorrect
assumption in the block buffer management code. Just decrypting some
data can overflow a heap buffer with attacker controlled data, no
verification or signature is validated before the vulnerability
occurs.

Więc wygląda na to że można przesłać komuś odpowiednią informację do zdeszyfrowania – i na jego komputerze zostanie wykonany nasz kod.

Tutaj z kolej sam projekt wspomina, że podatność rzeczywiście jest exploitowalna.

Szczęście w nieszczęściu, podatna wersja nie została jeszcze szeroko rozpylona do dystrybucji Linuksa. Choć np. Gentoo zdążył ją zaanektować.

GnuPG wypuściło już poprawioną wersję libgcrypt – 1.9.1

–ms