The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление GnuPG 2.2.23 с устранением критической уязвимости

03.09.2020 22:24

Опубликован релиз инструментария GnuPG 2.2.23 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21 и эксплуатируемая при импорте специально оформленного ключа OpenPGP.

Импорт ключа со специально оформленным большим списком AEAD-алгоритмов может привести к переполнению массива и краху или неопределённому поведению. Отмечается, что создание эксплоита, приводящего не только к краху, является сложной задачей, но такая возможность не исключается. Основная сложность при разработке эксплоита связана с тем, что атакующий может контролировать только каждый второй байт последовательности, а первый байт всегда принимает значение 0x04. Системы распространения ПО с верификацией по цифровым ключам вне опасности, так как в них используется предопределённый список ключей.

  1. Главная ссылка к новости (https://lists.gnupg.org/piperm...)
  2. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
  3. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  4. OpenNews: Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 без знания ключа
  5. OpenNews: Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP
  6. OpenNews: Выпуск GnuPG 2.2.17 с изменениями для противостояния атаке на серверы ключей
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53655-gnupg
Ключевые слова: gnupg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:06, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Давно пора GPG на Rust переписать, чтобы в нем уязвимостей больше не было.
     
     
  • 2.2, Аноним (2), 23:11, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Скорее, на Guile, это же проект GNU.
     
     
  • 3.3, Аноним (1), 23:14, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я за Rust голосую, пускай на нем переписывают.
     
     
  • 4.4, Аноним (2), 23:19, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Думаю, https://www.gnu.org/ с тобой категрически не согласятся. Rust под неугодной лицензией.
     
     
  • 5.5, Аноним (1), 23:31, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • –14 +/
    Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать, просто переписав его на Rust.
    Так пусть они уже наконец делом займутся и пойдут переписывать
     
     
  • 6.9, Michael Shigorin (ok), 00:47, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > Мне неинтересны
    > Так пусть они уже

    Так, не понял, чё за базар?
    А ну сел на ассемблере переписывать.
    БЫСТРО!

    PS: для встревожившихся: непонятно, что ли, что тот молодой организм требует кружевные трусики, причём с доставкой?..
    PPS re #42: *sigh*

     
     
  • 7.42, kusb (?), 21:12, 06/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хочу быть девочкой и кружевные трусики.

    Но на ассемблере небезопасно же наверное, можно очень интересные дыры себе устроить. С другой стороны полный контроль над оборудованием и никаких лишних компиляторов может дать безопасный результат, где проблемы решаются на низком уровне.
    Но всё равно скорее не верю в то, что средняя насписанная на асме программа стабильнее сишной.

     
  • 6.11, Аноним (11), 01:25, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать,
    > просто переписав его на Rust.
    >  Так пусть они уже наконец делом займутся и пойдут переписывать

    Тащемто GPG это именно GnuPG, проект GNU, если лицензия и правда им не нравится, то они НИКОГДА на Rust не перепишут, разве что Rust сменит лицензию, на столманоугодную, никак иначе!

     
  • 5.32, Аноним (32), 19:08, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что не так с лицензиями, вроде как Apache и MIT
     
  • 3.6, Аноним (6), 23:49, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там вроде автор постоянно ноет, как ему не нравится ГНУ, ГПЛ, и лично Столлман. Пусть идёт переписывает заново.
     
  • 2.7, Мамин Аноним (?), 23:59, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Уже переписали, аж два раза:

    https://github.com/rpgp/rpgp

    https://gitlab.com/sequoia-pgp/sequoia

     
     
  • 3.29, Аноним (-), 15:36, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я думал, что они только переписали утилиту ls.
     

  • 1.10, Michael Shigorin (ok), 00:49, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Гм, так вот почему у нас выше 2.2.19 не обновляли пока...
     
     
  • 2.13, Аноним (13), 04:08, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В MS DOS этой уязвимости тоже нет. Как в воду глядели!
     
  • 2.27, h65eyh5 (?), 13:32, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В P9 версия 2.2.17. Есть уязвимость и для неё: https://nvd.nist.gov/vuln/detail/CVE-2019-14855
    Интересно, у вас просто старая версия, пропатчили как-то или уязвимость не существенная?
     
     
  • 3.34, Аноним (34), 19:52, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Занятно, в дебиане не исправили: https://security-tracker.debian.org/tracker/CVE-2019-14855
     

  • 1.14, Аноним (14), 04:10, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Обновил.
     
     
  • 2.15, Аноним (15), 04:36, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Продолжай держать в курсе.
     

  • 1.17, Иваня (?), 06:45, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Privacy Guard
    > критическая уязвимость

    🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️

     
     
  • 2.19, Аноним (2), 07:45, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И все заценили твои квадраты.
     
     
  • 3.20, Иваня (?), 08:26, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это же emoji, ну вот держи специально для тебя в ASCII facepalm.jpg
     
     
  • 4.23, RomanCh (ok), 11:52, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, думаю правильнее так:

    | <°
    |   |\
    |  / \

     
  • 2.21, Аноним (21), 09:12, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Айпыня, залогинься
     

  • 1.26, Аноним (26), 13:12, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    всплывало такое
    https://dev.gnupg.org/T4727
     
  • 1.28, OpenEcho (?), 14:00, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Категорическй отказ автора прекратить требовать использования агента висящего в памяти с сохраненными секретами (на серверах то, где всего-то надо зашифровать/подписать и отвалить) толкает свалить на довольно простые и популярные аналоги:

    Crypt: https://github.com/FiloSottile/age
    Sign: https://github.com/chm-diederichs/minisign

     
     
  • 2.30, Аноним (6), 16:01, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr почаще.
     
     
  • 3.37, OpenEcho (?), 00:15, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr
    > почаще.

    Зачем вызывать то, что потеряло доверие...
    Как только мордакнига стала спонсором гпг, так сразу начались странные сюрпризы...

     

  • 1.31, Аноним (31), 18:05, 04/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    У мене вообще 2.2.12
     
     
  • 2.33, Аноним (6), 19:26, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня вообще 1.4.16, но у меня хотя бы есть причины. А у тебя просто шерето.
     
     
  • 3.35, Сейд (ok), 20:50, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какие причины?
     
     
  • 4.36, Аноним (6), 21:06, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он без pinentry? Меньше зависимостей и линкуется статически, можно положить в образ ядра.
     
  • 3.38, Аноним (-), 12:29, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не у меня
    Репы дебиана 10
     

  • 1.40, Аноним (40), 17:09, 05/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21

    https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4

    Не обновляют с самопропатченой 2.2.16

     
     
  • 2.41, Аноним (40), 17:11, 05/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    s/обновляют/обновлялся/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру