Libgcrypt

Une vulnérabilité «grave» dans le logiciel de chiffrement Libgcrypt de GNU Privacy Guard (GnuPG) aurait pu permettre à un attaquant d’écrire des données arbitraires sur la machine cible, conduisant potentiellement à l’exécution de code à distance.

La faille, qui affecte la version 1.9.0 de libgcrypt, a été découverte le 28 janvier par Tavis Ormandy de Project Zero, une unité de recherche en sécurité au sein de Google dédiée à la recherche de bogues zero-day dans les systèmes matériels et logiciels.

Aucune autre version de Libgcrypt n’est affectée par la vulnérabilité.

« Il y a un débordement de la mémoire tampon du tas dans libgcrypt en raison d’une hypothèse incorrecte dans le code de gestion du tampon de bloc, « Ormandy m’a dit. « Le simple fait de déchiffrer certaines données peut déborder d’un tampon de tas avec des données contrôlées par un attaquant, aucune vérification ou signature n’est validée avant que la vulnérabilité ne se produise. »

Auditeur De Mot De Passe

GnuPG a corrigé la faiblesse presque immédiatement dans un délai d’un jour après la divulgation, tout en exhortant les utilisateurs à arrête d’utiliser la version vulnérable. La dernière version peut être téléchargée Ici.

Publicité

La bibliothèque Libgcrypt est une boîte à outils cryptographique open-source offerte dans le cadre de la suite logicielle GnuPG pour crypter et signer les données et les communications. Une implémentation de OpenPGP, il est utilisé pour la sécurité numérique dans de nombreuses distributions Linux telles que Fedora et Gentoo, bien que ce ne soit pas aussi largement utilisé comme OpenSSL ou LibreSSL.

Selon GnuPG, le bogue semble avoir été introduit dans la version 1.9.0 lors de sa phase de développement il y a deux ans dans le cadre d’un changement visant à «réduire la surcharge de la fonction générique d’écriture de hachage», mais il n’a été repéré que la semaine dernière par Google Project Zero.

Ainsi, tout ce qu’un attaquant doit faire pour déclencher cette faille critique est d’envoyer à la bibliothèque un bloc de données spécialement conçues à déchiffrer, incitant ainsi l’application à exécuter un fragment arbitraire de code malveillant intégré (aka shellcode) ou à planter un programme. (dans ce cas, gpg) qui repose sur la bibliothèque libgcrypt.

« Exploiter ce bogue est simple et donc une action immédiate pour les utilisateurs de la version 1.9.0 est requise », l’auteur de Libgcrypt Werner Koch c’est noté. « Les archives tar 1.9.0 de notre serveur FTP ont été renommées pour que les scripts ne puissent plus obtenir cette version. »

Rate this post
Publicité
Article précédentLes lecteurs réagissent à la camionnette «  Covid-mobile  » à Brighton
Article suivantLe Premier ministre australien dit que Bing pourrait remplacer Google – WAVY.com
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici