The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"  +/
Сообщение от opennews (??), 03-Сен-20, 23:06 
Опубликован  релиз инструментария  GnuPG 2.2.23 (GNU Privacy Guard), совместимого со стандартами  OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21 и эксплуатируемая при импорте специально оформленного ключа OpenPGP...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53655

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 03-Сен-20, 23:06   –9 +/
Давно пора GPG на Rust переписать, чтобы в нем уязвимостей больше не было.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #7

2. Сообщение от Аноним (2), 03-Сен-20, 23:11   +6 +/
Скорее, на Guile, это же проект GNU.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #6

3. Сообщение от Аноним (1), 03-Сен-20, 23:14   –2 +/
Я за Rust голосую, пускай на нем переписывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от Аноним (2), 03-Сен-20, 23:19   +5 +/
Думаю, https://www.gnu.org/ с тобой категрически не согласятся. Rust под неугодной лицензией.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5, #32

5. Сообщение от Аноним (1), 03-Сен-20, 23:31   –14 +/
Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать, просто переписав его на Rust.
Так пусть они уже наконец делом займутся и пойдут переписывать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9, #11

6. Сообщение от Аноним (6), 03-Сен-20, 23:49   +/
Там вроде автор постоянно ноет, как ему не нравится ГНУ, ГПЛ, и лично Столлман. Пусть идёт переписывает заново.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Мамин Аноним (?), 03-Сен-20, 23:59   +4 +/
Уже переписали, аж два раза:

https://github.com/rpgp/rpgp

https://gitlab.com/sequoia-pgp/sequoia

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

9. Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 00:47   +12 +/
> Мне неинтересны
> Так пусть они уже

Так, не понял, чё за базар?
А ну сел на ассемблере переписывать.
БЫСТРО!

PS: для встревожившихся: непонятно, что ли, что тот молодой организм требует кружевные трусики, причём с доставкой?..
PPS re #42: *sigh*

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #42

10. Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 00:49   –5 +/
Гм, так вот почему у нас выше 2.2.19 не обновляли пока...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #27

11. Сообщение от Аноним (11), 04-Сен-20, 01:25   –1 +/
> Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать,
> просто переписав его на Rust.
>  Так пусть они уже наконец делом займутся и пойдут переписывать

Тащемто GPG это именно GnuPG, проект GNU, если лицензия и правда им не нравится, то они НИКОГДА на Rust не перепишут, разве что Rust сменит лицензию, на столманоугодную, никак иначе!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

13. Сообщение от Аноним (13), 04-Сен-20, 04:08   +5 +/
В MS DOS этой уязвимости тоже нет. Как в воду глядели!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (14), 04-Сен-20, 04:10   –1 +/
Обновил.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

15. Сообщение от Аноним (15), 04-Сен-20, 04:36   –1 +/
Продолжай держать в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

17. Сообщение от Иваня (?), 04-Сен-20, 06:45   –2 +/
> Privacy Guard
> критическая уязвимость

🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #21

19. Сообщение от Аноним (2), 04-Сен-20, 07:45   +2 +/
И все заценили твои квадраты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от Иваня (?), 04-Сен-20, 08:26   –1 +/
Это же emoji, ну вот держи специально для тебя в ASCII facepalm.jpg
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #23

21. Сообщение от Аноним (21), 04-Сен-20, 09:12   +/
Айпыня, залогинься
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

23. Сообщение от RomanCh (ok), 04-Сен-20, 11:52   +2 +/
Нет, думаю правильнее так:

| <°
|   |\
|  / \

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от Аноним (26), 04-Сен-20, 13:12   +1 +/
всплывало такое
https://dev.gnupg.org/T4727
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от h65eyh5 (?), 04-Сен-20, 13:32   +2 +/
В P9 версия 2.2.17. Есть уязвимость и для неё: https://nvd.nist.gov/vuln/detail/CVE-2019-14855
Интересно, у вас просто старая версия, пропатчили как-то или уязвимость не существенная?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #34

28. Сообщение от OpenEcho (?), 04-Сен-20, 14:00   –1 +/
Категорическй отказ автора прекратить требовать использования агента висящего в памяти с сохраненными секретами (на серверах то, где всего-то надо зашифровать/подписать и отвалить) толкает свалить на довольно простые и популярные аналоги:

Crypt: https://github.com/FiloSottile/age
Sign: https://github.com/chm-diederichs/minisign

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

29. Сообщение от Аноним (-), 04-Сен-20, 15:36   –1 +/
А я думал, что они только переписали утилиту ls.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

30. Сообщение от Аноним (6), 04-Сен-20, 16:01   +1 +/
Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr почаще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #37

31. Сообщение от Аноним (31), 04-Сен-20, 18:05   –2 +/
У мене вообще 2.2.12
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

32. Сообщение от Аноним (32), 04-Сен-20, 19:08   +/
А что не так с лицензиями, вроде как Apache и MIT
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

33. Сообщение от Аноним (6), 04-Сен-20, 19:26   +/
У меня вообще 1.4.16, но у меня хотя бы есть причины. А у тебя просто шерето.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35, #38

34. Сообщение от Аноним (34), 04-Сен-20, 19:52   +/
Занятно, в дебиане не исправили: https://security-tracker.debian.org/tracker/CVE-2019-14855
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

35. Сообщение от Сейд (ok), 04-Сен-20, 20:50   +/
Какие причины?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #36

36. Сообщение от Аноним (6), 04-Сен-20, 21:06   +/
Он без pinentry? Меньше зависимостей и линкуется статически, можно положить в образ ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

37. Сообщение от OpenEcho (?), 05-Сен-20, 00:15   +/
> Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr
> почаще.

Зачем вызывать то, что потеряло доверие...
Как только мордакнига стала спонсором гпг, так сразу начались странные сюрпризы...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

38. Сообщение от Аноним (-), 05-Сен-20, 12:29   +1 +/
Это не у меня
Репы дебиана 10
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от Аноним (40), 05-Сен-20, 17:09   +/
> критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21

https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4

Не обновляют с самопропатченой 2.2.16

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

41. Сообщение от Аноним (40), 05-Сен-20, 17:11   +/
s/обновляют/обновлялся/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

42. Сообщение от kusb (?), 06-Сен-20, 21:12   +/
Хочу быть девочкой и кружевные трусики.

Но на ассемблере небезопасно же наверное, можно очень интересные дыры себе устроить. С другой стороны полный контроль над оборудованием и никаких лишних компиляторов может дать безопасный результат, где проблемы решаются на низком уровне.
Но всё равно скорее не верю в то, что средняя насписанная на асме программа стабильнее сишной.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру