Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"	+/–
Сообщение от opennews (??), 03-Сен-20, 23:06
Опубликован  релиз инструментария  GnuPG 2.2.23 (GNU Privacy Guard), совместимого со стандартами  OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21 и эксплуатируемая при импорте специально оформленного ключа OpenPGP... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53655
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Сен-20, 23:06	–9 +/–
Давно пора GPG на Rust переписать, чтобы в нем уязвимостей больше не было.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #7

2. Сообщение от Аноним (2), 03-Сен-20, 23:11	+6 +/–
Скорее, на Guile, это же проект GNU.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #6

3. Сообщение от Аноним (1), 03-Сен-20, 23:14	–2 +/–
Я за Rust голосую, пускай на нем переписывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от Аноним (2), 03-Сен-20, 23:19	+5 +/–
Думаю, https://www.gnu.org/ с тобой категрически не согласятся. Rust под неугодной лицензией.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5, #32

5. Сообщение от Аноним (1), 03-Сен-20, 23:31	–14 +/–
Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать, просто переписав его на Rust. Так пусть они уже наконец делом займутся и пойдут переписывать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9, #11

6. Сообщение от Аноним (6), 03-Сен-20, 23:49	+/–
Там вроде автор постоянно ноет, как ему не нравится ГНУ, ГПЛ, и лично Столлман. Пусть идёт переписывает заново.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Мамин Аноним (?), 03-Сен-20, 23:59	+4 +/–
Уже переписали, аж два раза: https://github.com/rpgp/rpgp https://gitlab.com/sequoia-pgp/sequoia
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

9. Сообщение от Michael Shigorin (ok), 04-Сен-20, 00:47	+12 +/–
> Мне неинтересны > Так пусть они уже Так, не понял, чё за базар? А ну сел на ассемблере переписывать. БЫСТРО! PS: для встревожившихся: непонятно, что ли, что тот молодой организм требует кружевные трусики, причём с доставкой?.. PPS re #42: *sigh*
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #42

10. Сообщение от Michael Shigorin (ok), 04-Сен-20, 00:49	–5 +/–
Гм, так вот почему у нас выше 2.2.19 не обновляли пока...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #27

11. Сообщение от Аноним (11), 04-Сен-20, 01:25	–1 +/–
> Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать, > просто переписав его на Rust. >  Так пусть они уже наконец делом займутся и пойдут переписывать Тащемто GPG это именно GnuPG, проект GNU, если лицензия и правда им не нравится, то они НИКОГДА на Rust не перепишут, разве что Rust сменит лицензию, на столманоугодную, никак иначе!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

13. Сообщение от Аноним (13), 04-Сен-20, 04:08	+5 +/–
В MS DOS этой уязвимости тоже нет. Как в воду глядели!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (14), 04-Сен-20, 04:10	–1 +/–
Обновил.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

15. Сообщение от Аноним (15), 04-Сен-20, 04:36	–1 +/–
Продолжай держать в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

17. Сообщение от Иваня (?), 04-Сен-20, 06:45	–2 +/–
> Privacy Guard > критическая уязвимость 🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #21

19. Сообщение от Аноним (2), 04-Сен-20, 07:45	+2 +/–
И все заценили твои квадраты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от Иваня (?), 04-Сен-20, 08:26	–1 +/–
Это же emoji, ну вот держи специально для тебя в ASCII facepalm.jpg
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #23

21. Сообщение от Аноним (21), 04-Сен-20, 09:12	+/–
Айпыня, залогинься
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

23. Сообщение от RomanCh (ok), 04-Сен-20, 11:52	+2 +/–
Нет, думаю правильнее так: | <° |   |\ |  / \
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от Аноним (26), 04-Сен-20, 13:12	+1 +/–
всплывало такое https://dev.gnupg.org/T4727
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от h65eyh5 (?), 04-Сен-20, 13:32	+2 +/–
В P9 версия 2.2.17. Есть уязвимость и для неё: https://nvd.nist.gov/vuln/detail/CVE-2019-14855 Интересно, у вас просто старая версия, пропатчили как-то или уязвимость не существенная?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #34

28. Сообщение от OpenEcho (?), 04-Сен-20, 14:00	–1 +/–
Категорическй отказ автора прекратить требовать использования агента висящего в памяти с сохраненными секретами (на серверах то, где всего-то надо зашифровать/подписать и отвалить) толкает свалить на довольно простые и популярные аналоги: Crypt: https://github.com/FiloSottile/age Sign: https://github.com/chm-diederichs/minisign
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

29. Сообщение от Аноним (-), 04-Сен-20, 15:36	–1 +/–
А я думал, что они только переписали утилиту ls.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

30. Сообщение от Аноним (6), 04-Сен-20, 16:01	+1 +/–
Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr почаще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #37

31. Сообщение от Аноним (31), 04-Сен-20, 18:05	–2 +/–
У мене вообще 2.2.12
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

32. Сообщение от Аноним (32), 04-Сен-20, 19:08	+/–
А что не так с лицензиями, вроде как Apache и MIT
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

33. Сообщение от Аноним (6), 04-Сен-20, 19:26	+/–
У меня вообще 1.4.16, но у меня хотя бы есть причины. А у тебя просто шерето.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35, #38

34. Сообщение от Аноним (34), 04-Сен-20, 19:52	+/–
Занятно, в дебиане не исправили: https://security-tracker.debian.org/tracker/CVE-2019-14855
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

35. Сообщение от Сейд (ok), 04-Сен-20, 20:50	+/–
Какие причины?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #36

36. Сообщение от Аноним (6), 04-Сен-20, 21:06	+/–
Он без pinentry? Меньше зависимостей и линкуется статически, можно положить в образ ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

37. Сообщение от OpenEcho (?), 05-Сен-20, 00:15	+/–
> Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr > почаще. Зачем вызывать то, что потеряло доверие... Как только мордакнига стала спонсором гпг, так сразу начались странные сюрпризы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

38. Сообщение от Аноним (-), 05-Сен-20, 12:29	+1 +/–
Это не у меня Репы дебиана 10
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от Аноним (40), 05-Сен-20, 17:09	+/–
> критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21 https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 Не обновляют с самопропатченой 2.2.16
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

41. Сообщение от Аноним (40), 05-Сен-20, 17:11	+/–
s/обновляют/обновлялся/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

42. Сообщение от kusb (?), 06-Сен-20, 21:12	+/–
Хочу быть девочкой и кружевные трусики. Но на ассемблере небезопасно же наверное, можно очень интересные дыры себе устроить. С другой стороны полный контроль над оборудованием и никаких лишних компиляторов может дать безопасный результат, где проблемы решаются на низком уровне. Но всё равно скорее не верю в то, что средняя насписанная на асме программа стабильнее сишной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема