Vulnerabilidad en la librería libgcrypt de GPG

Múltiples vulnerabilidades en productos Juniper

Descripción

Se ha detectado una vulnerabilidad de riesgo alto en la versión 1.9.0 de libgcrypt, utilizado entre otros por la aplicación GnuPG, que permitiría la ejecución remota de código al procesar un fichero especialmente preparado.

Se trata de un desbordamiento de buffer en el heap (zona de memoria que se reserva dinámicamente durante la ejecución de un programa), debido a un cálculo incorrecto del número de bytes a copiar a un buffer de tamaño fijo que, bajo determinadas circunstancias, excede el tamaño máximo y posibilita sobrescribir memoria más allá del mismo.

Recursos afectados

  • Versión 1.9.0 de la librería.

Solución

  • Actualizar a la versión 1.9.1.

El proyecto GnuPG corrigió el fallo en el mismo día de su notificación, liberando una nueva versión (1.9.1), instando a los usuarios afectados a actualizar inmediatamente sus sistemas. Asimismo, todos los ficheros de código fuente de la versión afectada han sido renombrados para evitar la descarga accidental de los mismos por parte de scripts automatizados

Referencias

Project-Zero: Issue 2145: gpg: heap buffer overflow in libgcrypt
TheHackerNews: Google Discloses Severe Bug in Libgcrypt Encryption Library—Impacting Many Projects

Artículos relacionados

Múltiples vulnerabilidades en productos Juniper

Etiqueta Seresco