Závažná zraniteľnosť v knižnici GnuPG Libgcrypt

3. februára 2021

V knižnici GnuPG Libcrypt existuje vysoko závažná zraniteľnosť v spôsobe dešifrovania dát. Útočníkom umožňuje spôsobiť zrútenie aplikácie, ktorá knižnicu používa, alebo vzdialene vykonávať kód. Toto je možné dosiahnuť jednoducho dešifrovaním špeciálne upraveného balíka dát.

Dôsledky

Možnosť vzdialene vykonávať ľubovoľný kód
Zrútenie programu pracujúceho s knižnicou Libgcrypt

Opis činnosti

Tím Project Zero spoločnosti Google objavil v knižnici GnuPG Libgcrypt zraniteľnosť pretečenia medzipamäte haldy. Spôsobená je chybou v kóde pre správu blokov dát v medzipamäti, ktorá nastáva pri dekryptovaní dát pred ich overením.

Útočník môže zraniteľnosť zneužiť dešifrovaním pripravených dát, čím získa možnosť zapisovať do pamäte ľubovoľné údaje. To mu môže otvoriť dvere pre vzdialené vykonávanie kódu.

Zástupcovia projektu GnuPG sa vyjadrili, že zraniteľnosť vznikla pred dvomi rokmi pri vývoji verzie Libgcrypt 1.9.0. Vzhľadom na jednoduchosť zneužitia odporúčajú používateľom bezodkladne prejsť na opravenú verziu. Vývojári dokonca premenovali na svojom FTP serveri archívy s kódom knižnice verzie 1.9.0, aby nebola dostupná pre skripty.

Knižnicu okrem OpenPGP používajú niektoré distribúcie Linuxu, macOS a systemd pre DNSSEC.

Zraniteľné systémy

GnuPG Libgcrypt, verzia 1.9.0
Všetky aplikácie s implementovanou knižnicou Libgcrypt 1.9.0 (vrátane Gentoo a manažéra balíčkov Homebrew pre macOS)

Závažnosť zraniteľnosti
Vysoká

Možné škody
Nedostupnosť služby
Vzdialené vykonávanie kódu
Únik citlivých informácií

Odporúčania
Vzhľadom na jednoduchosť zneužitia zraniteľnosti odporúčame bezodkladnú aktualizáciu knižnice, resp. produktov, ktoré ju využívajú.

Odkazy
https://thehackernews.com/2021/01/google-discloses-severe-bug-in.html
https://www.zdnet.com/article/libgcrypt-developers-release-urgent-update-to-tackle-severe-vulnerability/
https://www.theregister.com/2021/01/29/severe_libgcrypt_bug/