Google odhalil závažnú chybu v knižnici šifrovania Libgcrypt, ktorá má vplyv na mnohé projekty

„Závažná“ zraniteľnosť v šifrovacom softvéri Libgcrypt GNU Privacy Guard (GnuPG) mohla útočníkovi umožniť zapisovať ľubovoľné údaje do cieľového počítača, čo by mohlo viesť k vzdialenému spusteniu kódu.

Chyba, ktorá ovplyvňuje verziu 1.9.0 of libgcrypt, objavil 28. januára Tavis Ormandy z Project Zero, bezpečnostnej výskumnej jednotky v rámci Google, ktorá sa venuje hľadaniu chýb zero-day v hardvérových a softvérových systémoch.

Žiadna iná verzia Libgcrypt nie je touto zraniteľnosťou ovplyvnená.

“V libgcrypt dochádza k pretečeniu vyrovnávacej pamäte haldy v dôsledku nesprávneho predpokladu v kóde správy vyrovnávacej pamäte bloku,” povedal Ormandy. “Len dešifrovanie niektorých údajov môže preplniť vyrovnávaciu pamäť s údajmi kontrolovanými útočníkom, žiadne overenie ani podpis nie je overený skôr, ako sa vyskytne zraniteľnosť.”

GnuPG riešil slabinu takmer okamžite do jedného dňa po zverejnení, pričom vyzval používateľov, aby prestali používať zraniteľnú verziu. Najnovšiu verziu si môžete stiahnuť tu.

Knižnica Libgcrypt je súprava kryptografických nástrojov s otvoreným zdrojom ponúkaná ako súčasť softvérového balíka GnuPG na šifrovanie a podpisovanie údajov a komunikácie. Implementácia OpenPGP sa používa na digitálnu bezpečnosť v mnohých distribúciách Linuxu, ako je Fedora a Gentoo, hoci nie je tak široko používaná ako OpenSSL alebo LibreSSL.

Podľa GnuPG sa zdá, že chyba bola zavedená v 1.9.0 počas svojej vývojovej fázy pred dvoma rokmi ako súčasť zmeny na „zníženie réžie na generickú funkciu zápisu hash“, ale len minulý týždeň si to všimol Google Project Zero.

Všetko, čo musí útočník urobiť, aby spustil túto kritickú chybu, je poslať knižnici blok špeciálne vytvorených údajov na dešifrovanie, čím oklame aplikáciu, aby spustila ľubovoľný fragment škodlivého kódu, ktorý je v nej vložený (aka shell kód), alebo zlyhá program. (v tomto prípade gpg), ktorý sa spolieha na knižnicu Libgcrypt.

„Využitie tejto chyby je jednoduché, a preto je potrebné okamžite konať 1.9.0 používateľov je povinný,“ poznamenal autor Libgcrypt Werner Koch 1.9.0 tarballs na našom FTP serveri boli premenované, takže skripty už nebudú môcť získať túto verziu.”