Une mise à jour urgente pour une grave faille chez Libgcrypt
Une grave faille de dépassement de tas a été découverte par Tavis Ormandy, de l’équipe Project Zero de Google. Les développeurs de Libgcrypt ont donc publié une mise à jour urgente afin de corriger la faille en question, qui est assez critique.
Libgcrypt est une bibliothèque cryptographique open source et un module pour GNU Privacy Guard (GnuPG). Bien que le code puisse être utilisé indépendamment, Libgrypt se base sur la bibliothèque GnuPG « libgpg-error ».
Tavis Ormandy a expliqué que : « Le simple déchiffrement de certaines données peut faire déborder un tampon de tas. Aucune vérification ou signature n’est validée avant que la vulnérabilité ne se produise », et a ajouté : « je pense que cela est facilement exploitable. ». Tavis a partagé ses conclusions avec les développeurs de Libgcrypt, et dès que l’équipe a reçu le rapport, elle a publié immédiatement un avis destiné aux utilisateurs sous le titre : « [Annonce] [urgent] Stop using Libgcrypt 1.9.0 ! ». Dans l’avis, le principal développeur de GnuPG, Werner Koch, demande aux utilisateurs d’arrêter d’utiliser la version 1.9..0 qui, en tant que nouvelle version, avait commencé à être adoptée par des projets comme Fedora 34 et Gentoo.
La dernière version de Libgcrypt (la version 1.9.1) a été publiée très rapidement afin de remédier à la faille, n’ayant pas encore reçu d’identifiant CVE. Dans une analyse de la faille en question, le cryptographe Filippo Valsorda a supposé que la faille est à l’origine de problèmes de sécurité mémoire du langage C et pourrait être lié aux efforts de défense contre des attaques de canal auxiliaire. Les utilisateurs ayant effectué la mise à jour 1.9.0 de Libgcrypt sont invités à télécharger la version corrigée le plus vite possible. Les développeurs ont expliqué : « L’exploitation de cette faille est simple et de ce fait une action immédiate pour les utilisateurs de la version 1.9.0 est nécessaire ».