Dikabarkan bahwa pihak pengembang telah mengeluarkan pembaruan darurat untuk mengatasi kerentanan kritis dalam Libgcrypt, yang dapat memungkinkan penyerang untuk menulis data arbitrer ke mesin target dan berpotensi mengarah pada remote-code-execution.
Libgcrypt adalah library kriptografi open-source dan modul GNU Privacy Guard (GnuPG). Meskipun kode dapat digunakan secara independen, Libgcrypt mengandalkan library GnuPG ‘libgpg-error’.
Kerentanan tersebut, yang memengaruhi libgcrypt versi 1.9.0, ditemukan pada 28 Januari 2021 oleh Tavis Ormandy dari Project Zero, unit penelitian keamanan Google yang didedikasikan untuk menemukan zero-day dalam sistem perangkat keras dan perangkat lunak.
“Ada heap buffer overflow di libgcrypt karena asumsi yang salah dalam kode manajemen block buffer,” kata Ormandy. “Hanya mendekripsi beberapa data dapat memicu heap buffer overflow dengan data yang dikendalikan penyerang, tidak ada verifikasi atau tanda tangan yang divalidasi sebelum kerentanan terjadi ... Saya yakin ini mudah untuk dieksploitasi.”
Baca Juga: “Serangan Raccoon Memungkinkan Untuk Memecahkan Enkripsi TLS“
Peneliti menyampaikan temuannya kepada pengembang libgcrypt. Segera setelah laporan diterima, tim pengembang segera menerbitkan pemberitahuan untuk pengguna, “[Announce] [urgent] Stop using Libgcrypt 1.9.0!“.
Versi baru libgcrypt, yaitu versi 1.9.1, dirilis dalam hitungan jam untuk mengatasi kerentanan kritis tersebut, dengan nomor CVE yang saat ini masih belum ditetapkan.
Pengguna yang menggunakan libgcrypt 1.9.0 disarankan untuk mengunduh dan mengintal patch secepat mungkin.
“Mengeksploitasi kerentanan ini cukup sederhana dan dengan demikian tindakan segera untuk 1.9.0 pengguna diperlukan,” kata penulis Libgcrypt, Werner Koch. “Tarball 1.9.0 di server FTP kami telah diganti namanya sehingga skrip tidak akan bisa mendapatkan versi ini lagi.”
