Schwachstelle: Entwickler rät Krypto-Bibliothek Libgcrypt 1.9.0 nicht zu nutzen
In der aktuellen Version von Libgcrypt wurde ein schwerer Fehler entdeckt. Eine abgesicherte Version soll noch heute erscheinen.
Aufgrund einer SicherheitslĂĽcke sollten Entwickler die Krypto-Bibliothek Libgcrypt in der aktuellen Version 1.9.0 nicht mehr einsetzen. Eine neue Ausgabe ist auf dem Weg.
In einer Ankündigung warnt der Autor Werner Koch vor dem Einsatz der verwundbaren Version. Libgcrypt kommt unter anderem bei GnuPG zum Einsatz. Die Ausgabe 1.9.0 ist noch recht frisch (19. Januar 2021) und kommt glücklicherweise noch nicht flächendeckend zum Einsatz. Koch zufolge ist die Krypto-Bibliothek aber schon in Fedora 34 und Gentoo verfügbar.
In der Warnung schreibt er von einem "schweren Fehler". Weitere Informationen zur Schwachstelle stehen noch aus. Koch versichert, dass noch am heutigen Freitag eine abgesicherte Version erscheinen soll.
Update 29.1.2021, 15:20: In einem Sicherheits-Advisory verkündet Werner Koch die Verfügbarkeit der neuen Version Libgcrypt 1.9.1, die einen "kritischen Security-Bug" behebt. Demnach hat der Sicherheitsforscher Tavis Ormandy einen möglichen Pufferüberlauf auf dem Heap entdeckt. Der lässt sich einfach ausnutzen, um Code einzuschleusen und auszuführen. Dazu genügt es, dass die betroffene Bibliothek Daten des Angreifers entschlüsselt. Wer Libgcrypt 1.9.0 einsetzt, sollte dringend auf die neue Version updaten.
(des)