Опасная уязвимость в Libgcrypt затрагивает многие дистрибутивы Linux

Опасная уязвимость в ПО для шифрования GNU Privacy Guard (GnuPG) позволяет злоумышленникам записывать на уязвимые системы произвольные данные и потенциально выполнить код. Проблема была обнаружена 28 января 2021 года исследователем безопасности Тэвисом Орманди (Tavis Ormandy) из Google Project Zero и затрагивает использующуюся в GnuPG библиотеку Libgcrypt. Уязвимости, получившей идентификатор CVE-2021-3345 , подвержена только версия библиотеки 1.9.0.

Проблема представляет собой уязвимость переполнения буфера из-за некорректного допущения в коде управления блоком буфера. Просто зашифровав некоторые данные, атакующий может вызвать переполнение буфера подконтрольными ему данными. Никакой проверки данных или подтверждение цифровой подписи при этом не предусмотрено.

Разработчики GnuPG исправили проблему чрезвычайно быстро – за день. По их словам, уязвимость возникла в Libgcrypt 1.9.0 в процессе разработки два года назад, но была обнаружена только на прошлой неделе.

Для эксплуатации уязвимости атакующему достаточно лишь отправить библиотеке для расшифровки блок особым образом сконфигурированных данных и тем самым вынудить приложение запустить встроенный в них произвольный фрагмент вредоносного кода (например, shell-код) или вызвать аварийное завершение работы программы (в данном случае gpg), полагающейся на Libgcrypt.

Libgcrypt представляет собой набор криптографических инструментов с открытым исходным кодом. Библиотека используется в GnuPG для шифрования и подписи данных и коммуникаций. В качестве реализации OpenPGP она применяется для обеспечения безопасности во многих дистрибутивах Linux, таких как Fedora и Gentoo, но не так часто, как OpenSSL и LibreSSL.

Пользователям настоятельно рекомендуется отказаться от использования уязвимой версии Libgcrypt. Скачать исправленную версию можно здесь .