Обновление GnuPG 2.2.23 с устранением критической уязвимости

03.09.2020 22:24

Опубликован релиз инструментария GnuPG 2.2.23 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21 и эксплуатируемая при импорте специально оформленного ключа OpenPGP.

Импорт ключа со специально оформленным большим списком AEAD-алгоритмов может привести к переполнению массива и краху или неопределённому поведению. Отмечается, что создание эксплоита, приводящего не только к краху, является сложной задачей, но такая возможность не исключается. Основная сложность при разработке эксплоита связана с тем, что атакующий может контролировать только каждый второй байт последовательности, а первый байт всегда принимает значение 0x04. Системы распространения ПО с верификацией по цифровым ключам вне опасности, так как в них используется предопределённый список ключей.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/53655-gnupg

Ключевые слова: gnupg

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (34)

1.1, Аноним (1), 23:06, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	–9 +/–
Давно пора GPG на Rust переписать, чтобы в нем уязвимостей больше не было.

2.2, Аноним (2), 23:11, 03/09/2020 [^] [^^] [^^^] [ответить]	+6 +/–
Скорее, на Guile, это же проект GNU.

3.3, Аноним (1), 23:14, 03/09/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Я за Rust голосую, пускай на нем переписывают.

4.4, Аноним (2), 23:19, 03/09/2020 [^] [^^] [^^^] [ответить]	+5 +/–
Думаю, https://www.gnu.org/ с тобой категрически не согласятся. Rust под неугодной лицензией.

5.5, Аноним (1), 23:31, 03/09/2020 [^] [^^] [^^^] [ответить]	–14 +/–
Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать, просто переписав его на Rust. Так пусть они уже наконец делом займутся и пойдут переписывать

6.9, Michael Shigorin (ok), 00:47, 04/09/2020 [^] [^^] [^^^] [ответить]

+12 +/–

> Мне неинтересны
> Так пусть они уже

Так, не понял, чё за базар?
А ну сел на ассемблере переписывать.
БЫСТРО!

PS: для встревожившихся: непонятно, что ли, что тот молодой организм требует кружевные трусики, причём с доставкой?..
PPS re #42: *sigh*

7.42, kusb (?), 21:12, 06/09/2020 [^] [^^] [^^^] [ответить]	+/–
Хочу быть девочкой и кружевные трусики. Но на ассемблере небезопасно же наверное, можно очень интересные дыры себе устроить. С другой стороны полный контроль над оборудованием и никаких лишних компиляторов может дать безопасный результат, где проблемы решаются на низком уровне. Но всё равно скорее не верю в то, что средняя насписанная на асме программа стабильнее сишной.

6.11, Аноним (11), 01:25, 04/09/2020 [^] [^^] [^^^] [ответить]

–1 +/–

> Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать,
> просто переписав его на Rust.
> Так пусть они уже наконец делом займутся и пойдут переписывать

Тащемто GPG это именно GnuPG, проект GNU, если лицензия и правда им не нравится, то они НИКОГДА на Rust не перепишут, разве что Rust сменит лицензию, на столманоугодную, никак иначе!

5.32, Аноним (32), 19:08, 04/09/2020 [^] [^^] [^^^] [ответить]	+/–
А что не так с лицензиями, вроде как Apache и MIT

3.6, Аноним (6), 23:49, 03/09/2020 [^] [^^] [^^^] [ответить]	+/–
Там вроде автор постоянно ноет, как ему не нравится ГНУ, ГПЛ, и лично Столлман. Пусть идёт переписывает заново.

2.7, Мамин Аноним (?), 23:59, 03/09/2020 [^] [^^] [^^^] [ответить]

+4 +/–

Уже переписали, аж два раза:

https://github.com/rpgp/rpgp

https://gitlab.com/sequoia-pgp/sequoia

3.29, Аноним (-), 15:36, 04/09/2020 [^] [^^] [^^^] [ответить]	–1 +/–
А я думал, что они только переписали утилиту ls.

1.10, Michael Shigorin (ok), 00:49, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Гм, так вот почему у нас выше 2.2.19 не обновляли пока...

2.13, Аноним (13), 04:08, 04/09/2020 [^] [^^] [^^^] [ответить]	+5 +/–
В MS DOS этой уязвимости тоже нет. Как в воду глядели!

2.27, h65eyh5 (?), 13:32, 04/09/2020 [^] [^^] [^^^] [ответить]	+2 +/–
В P9 версия 2.2.17. Есть уязвимость и для неё: https://nvd.nist.gov/vuln/detail/CVE-2019-14855 Интересно, у вас просто старая версия, пропатчили как-то или уязвимость не существенная?

3.34, Аноним (34), 19:52, 04/09/2020 [^] [^^] [^^^] [ответить]	+/–
Занятно, в дебиане не исправили: https://security-tracker.debian.org/tracker/CVE-2019-14855

1.14, Аноним (14), 04:10, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Обновил.

2.15, Аноним (15), 04:36, 04/09/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Продолжай держать в курсе.

1.17, Иваня (?), 06:45, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> Privacy Guard > критическая уязвимость 🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️

2.19, Аноним (2), 07:45, 04/09/2020 [^] [^^] [^^^] [ответить]	+2 +/–
И все заценили твои квадраты.

3.20, Иваня (?), 08:26, 04/09/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Это же emoji, ну вот держи специально для тебя в ASCII facepalm.jpg

4.23, RomanCh (ok), 11:52, 04/09/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Нет, думаю правильнее так: \| <° \| \|\ \| / \

2.21, Аноним (21), 09:12, 04/09/2020 [^] [^^] [^^^] [ответить]	+/–
Айпыня, залогинься

1.26, Аноним (26), 13:12, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
всплывало такое https://dev.gnupg.org/T4727

1.28, OpenEcho (?), 14:00, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Категорическй отказ автора прекратить требовать использования агента висящего в памяти с сохраненными секретами (на серверах то, где всего-то надо зашифровать/подписать и отвалить) толкает свалить на довольно простые и популярные аналоги: Crypt: https://github.com/FiloSottile/age Sign: https://github.com/chm-diederichs/minisign

2.30, Аноним (6), 16:01, 04/09/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr почаще.

3.37, OpenEcho (?), 00:15, 05/09/2020 [^] [^^] [^^^] [ответить]	+/–
> Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr > почаще. Зачем вызывать то, что потеряло доверие... Как только мордакнига стала спонсором гпг, так сразу начались странные сюрпризы...

1.31, Аноним (31), 18:05, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
У мене вообще 2.2.12

2.33, Аноним (6), 19:26, 04/09/2020 [^] [^^] [^^^] [ответить]	+/–
У меня вообще 1.4.16, но у меня хотя бы есть причины. А у тебя просто шерето.

3.35, Сейд (ok), 20:50, 04/09/2020 [^] [^^] [^^^] [ответить]	+/–
Какие причины?

4.36, Аноним (6), 21:06, 04/09/2020 [^] [^^] [^^^] [ответить]	+/–
Он без pinentry? Меньше зависимостей и линкуется статически, можно положить в образ ядра.

3.38, Аноним (-), 12:29, 05/09/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Это не у меня Репы дебиана 10

1.40, Аноним (40), 17:09, 05/09/2020 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21

https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4

Не обновляют с самопропатченой 2.2.16

2.41, Аноним (40), 17:11, 05/09/2020 [^] [^^] [^^^] [ответить]	+/–
s/обновляют/обновлялся/

игнорирование участников | лог модерирования

Добавить комментарий

Текст: