В версии 1.9.0 криптографической библиотеки Libgcrypt обнаружили серьезную уязвимость безопасности. Об этом в рассылке предупредил Вернер Кох.

Libgcrypt — это криптографическая библиотека, которая используется в GNU Privacy Guard (GnuPG). Вернер Кох, основной разработчик GnuPG и автор Libgcrypt, отправил срочное предупреждение через список рассылки проекта.

Версия Libgcrypt 1.9.0 вышла 19 и должна была войти в грядущий выпуск GnuPG 2.3.

В первом предупреждении Кох не объяснил природу обнаруженной уязвимости, однако попросил прекратить использование библиотеки. Он также отметил, что Fedora 34 (выпуск которой запланирован на апрель 2021 года) и Gentoo Linux уже используют уязвимую версию.

Позже Кох предоставил дополнительную информацию о критической уязвимости (у которой пока нет идентификационного номера CVE). Она представляет собой переполнение буфера в куче (heap overflow). Простое дешифрование некоторых данных может привести к переполнению буфера кучи данными, контролируемыми злоумышленником, поясняет Кох.

Уязвимость была обнаружена исследователем Google Project Zero Тэвисом Орманди и влияет только на Libgcrypt v1.9.0.

«Использовать эту ошибку очень просто, поэтому от пользователей 1.9.0 требуются немедленные действия», — отметил Кох.

На сегодня уже доступна для скачивания версия 1.9.1, в которой ??ошибка исправлена.