SK-CERT Bezpečnostné varovanie V20210205-02

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.8

Identifikátor

Kritická bezpečnostná zraniteľnosť v knižnici Libgcrypt

Popis

Vývojári knižnice Libgcrypt vydali bezpečnostnú aktualizáciu svojho produkt, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť je spôsobená nedostatočnou implementáciou bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne upravenej správy spôsobiť pretečenie zásobníka a vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

01.02.2021

CVE

CVE-2021-3345

IOC

–

Zasiahnuté systémy

Libgcrypt vo verzii staršej ako 1.9.1

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://www.cisecurity.org/advisory/a-vulnerability-in-gnupg-libgcrypt-could-allow-for-arbitrary-code-execution_2021-016/ https://threatpost.com/critical-libgcrypt-crypto-bug-arbitrary-code/163546/ https://nakedsecurity.sophos.com/2021/01/31/gnupg-crypto-library-can-be-pwned-during-decryption-patch-now/ https://www.zdnet.com/article/libgcrypt-developers-release-urgent-update-to-tackle-severe-vulnerability/ https://bugs.gentoo.org/767814 https://nvd.nist.gov/vuln/detail/CVE-2021-3345 https://www.security-database.com/detail.php?alert=CVE-2021-3345

« Späť na zoznam