The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в библиотеке Libgcrypt 1.9.0, затрагивающая GnuPG и systemd

29.01.2021 21:56

В опубликованном на прошлой неделе выпуске криптографической библиотеки Libgcrypt 1.9.0, которая используется в GnuPG, выявлена легко эксплуатируемая критическая уязвимость, позволяющая добиться переполнения буфера при попытке расшифровки специально оформленных данных, на стадии до верификации или проверки цифровой подписи. Уязвимость затрагивает GnuPG, systemd (библиотека используется для DNSSEC) и другие приложения, использующие уязвимую версию Libgcrypt.

CVE-идентификатор уязвимости ещё не присвоен. Проблема устранена в обновлении Libgcrypt 1.9.1. Разработчики проекта GnuPG рекомендуют как можно скорее прекратить использование версии 1.9.0, которую уже успели включить в состав экспериментальных репозиториев Fedora 34 (Rawhide) и Gentoo. В ветке 1.8.x уязвимость не проявляется.

Проблема вызвана ошибкой, приводящей к переполнению буфера. Проблема проявляется только в выпуске 1.9.0 и вызвана изменением в новой реализации хэш-функций, внесённым около двух лет назад. Изменение сводилось к оптимизации, заменяющей рекурсивный вызов функции на использование buf_cpy для копирования буферов. Оптимизация была добавлена для обеспечения постоянного времени выполнения операций с блоками, из-за опасения подверженности кода атакам, анализирующим зависимость скорости выполнения операций от обрабатываемых данных (timing attacks).

Переполнение возникало из-за некорректного определения размера буфера для расшифровываемого блока. В функции _gcry_md_block_write при вычислении размера копируемого функцией buf_cpy (аналог memcpy) блока присутствовало допущение, что размер буфера не может превышать размер блока. Данное допущение оказалось ошибочным, так как в реализациях алгоритмов, таких как SHA-1, допускалось использование значений, превышающих размер блока. В итоге, создавались условия, когда в буфер размером 120 байт могли быть записаны 128 байт, 8-байтовых хвост которых брался из входных данных и накладывался на сохранённый следом в памяти указатель функции.

  1. Главная ссылка к новости (https://lists.gnupg.org/piperm...)
  2. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.9.0
  3. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  4. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
  5. OpenNews: Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME
  6. OpenNews: Обновление GnuPG 2.2.23 с устранением критической уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54489-libgcrypt
Ключевые слова: libgcrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:05, 29/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > из-за некорректного определения размера буфера для расшифруемого блока

    типикал си

     
     
  • 2.7, Wilem82 (ok), 22:12, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не трожь наш язык от бога. Ничего лучше него придумать невозможно, Си - совершенство эволюции. Всё, что хоть немного лучше - это для проклятых хипстеров которые ниасилили святое.
     
     
  • 3.11, Аноним (11), 22:39, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Эволюция свернула не туда...
     
     
  • 4.19, Аноним (-), 23:35, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Кто ж виноват что хипстеры не системщики а вебмакаки? Вот и пользуемся тулсами от Древних, они в отличие от вебмакак знали что и зачем делают а не просто хайповали.
     
  • 3.32, Аноним (32), 04:03, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Богов, кстати, было 2.
     
     
  • 4.39, НеАноним (?), 05:07, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Bug-ов?
     
     
  • 5.70, Аноним (-), 12:08, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Кто из-них бог?

    1. Ритчи создал язык Си.
    2. Томпсон создал UNIX, а также язык Би - непосредственный предшественник Си.
    3. Керниган помог написать книжку: "The C Programming language".

     
     
  • 6.93, Аноним (93), 19:55, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поправка принимается, нехай будет трое.

    А так - по сравнению с смузихлебами, любой их програмеров той эпохи - godlike. Он комп с нуля заводить умеет, в отличие от ламо с питонохрустом.

     
  • 6.119, еман (?), 10:47, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    есть ещё Go, непосредственный приемник Limbo.
    есть ещё D, каким и должен был быть C++
    ну и rust - с боку припёку язык для контроллеров.
     
  • 3.120, мимо проходил (?), 12:06, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дурачок, си это инструмент, а не религия
     
  • 2.13, Аноним (13), 22:51, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На месте надо писать, не будет таких косяков
     
     
  • 3.94, Аноним (93), 19:55, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не пишите программы - и в них не будет багов, проверенный способ! :)
     
  • 2.18, Аноним (18), 23:29, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типикал опенсорс. Зоркий глаз только через два года заметил, что у сарая нет стены.
     
     
  • 3.20, Аноним (-), 23:36, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Fedora 34 (Rawhide) и Gentoo.

    Походу таки не 2 года и прилетело только тестовым манекенам, которые для этого как раз и существуют.

     
  • 3.27, Аноним (27), 00:58, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > глаз только через два года заметил

    Твой глаз скорее всего заметил это:

    > В опубликованном на прошлой неделе выпуске

    Но мозг ничего не понял, так как он спит, а копчик, который за него, незаметно дал команду поскорей выплюнуть желчный вы$ер про "опенсорс,гну,яп,гпл,линукс,бсд,что-угодно...", сформированный по одному единственному шаблону-на-все-случаи, после чего почувствовать себя значимым и испытать довольство собой, временно заглушив смутный глубинный страх рождённый интуитивным осознанием своего бессмысленного и бесполезного существованиея.

     
  • 2.44, Чебур (?), 06:11, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    При чем тут си, если макаки кривоукие писать не умеют, я вот недавно на нем хелло ворлд писал и никаких проблем
     
     
  • 3.65, Аноним (11), 11:25, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хаха, начинается)) "Это неправильные программисты, они пишут неправильный код", "а вот правильные программисты"...
    Если этот программер таки криворукая макака, то какого вы разрешаете ему контрибьютить в криптолибу? Как это изменение прошло код-ревью (он же был, я надеюсь) - ошибку не заметили ревьюверы и возможно мейнтейнер проекта.
    Т.о. тут не одна макака криворукая, а целая куча.
     
     
  • 4.88, Аноним (88), 17:48, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Либа опенсорсная, перепишите по своему. Другой вопрос, что дистрибутивов, которые легко отнесутся к тому, что вы просто взяли и впихнули пакет не от DJ Ментейнера (даже если все зависимости будут соблюдены), по пальцам пересчитать можно.

    А так да, криворукая макака тут ещё и сам юзер по сути, который знает, что имеет дело с сборкой от васяна (по факту же), но слепо верит ему настолько же, как и хоть и индусу, но на зп.

     
  • 2.54, Аноним (54), 09:55, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >типикал си

    Надо было на Javascript писать.

     
  • 2.71, Аноним (71), 12:10, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Даже растофанатики выяснили что дело не в языке, после текущего редокса, а дело в руках программиста. И никто не говорил что эта уязвимость в библиотеке появилась случайно, «программист» мог специально добавить недокументированное поведение.
     
     
  • 3.76, Qwerty123456 (?), 12:17, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И только дырописатели на сишке не видят разницы в утечке памяти и выходе за границы буфера.
     
     
  • 4.86, Аноним (86), 16:37, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И только дырописатели на сишке

    хелловротписатели на сишке это, потому что на полном серьезе приравнивают "утечку" (в кавычках) в _ядерном менеджере памяти_ к утечке в юзерспейсе.

     
  • 3.95, Аноним (93), 19:58, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже растофанатики выяснили что дело не в языке, после текущего редокса

    Лол. Ну ничего, сейчас они начнут дагадываться зачем у нас valgrind, kasan, статический анализ, фаззинг и прочие странные вещи про которые они вопили "этанинужна!!!111 хатим просто прогать и не думать!!!111"

     
     
  • 4.106, Аноним (106), 21:26, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Даже растофанатики выяснили что дело не в языке, после текущего редокса
    > Лол. Ну ничего, сейчас они начнут дагадываться зачем у нас valgrind,

    То ли дело местные Эксперды - умеют ловить "утечки памяти" в ядерном менеджере памяти валгриндом, ога.
    > статический анализ,

    Учитывая, что он в ржавчине из коробки в разы мощнее - Эксперд и тут слышал звон.

     
     
  • 5.113, draw1 (?), 03:25, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> статический анализ,
    > Учитывая, что он в ржавчине из коробки в разы мощнее

    Кто "он" и мощнее чем что? Что с чем ты сравниваешь?

     
     
  • 6.118, Аноним (118), 05:05, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>> статический анализ,
    >> Учитывая, что он в ржавчине из коробки в разы мощнее
    > Кто "он" и мощнее чем что? Что с чем ты сравниваешь?

    Анализ, очевидно. Эксперд выше ляпнул "начнут дагадываться зачем у нас ... статический анализ ... и прочие странные вещи про которые они вопили "этанинужна!!!111 хатим просто прогать и не думать!!!111"
    Видимо посчитав, что продвинутая система типов, ownership и borrow checker работает не иначе как через либастрал.


     
  • 2.123, An O Nim (?), 09:57, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > из-за некорректного определения размера буфера для расшифруемого блока
    > типикал си

    Typical lasy stupid. Т.к. вот оно:
    > ... присутствовало допущение, что ...

    А допущениев в реале-то нельзя делать вообще. Вот тогда работает лучше и на сИшечге и на бАшеке - на всём.

     
  • 2.126, bOOster (ok), 12:43, 03/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот когда в ядре RUST посыпяться идентичные ошибки - вот тогда и смешно будет.
     

  • 1.2, Аноним (2), 22:05, 29/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Кстати, появилась альтернатива секвое для использования в качестве либы - https://github.com/rpgp/rpgp
     
     
  • 2.51, Fracta1L (ok), 09:05, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Rust 99.0%

    Очень хорошо!

     
     
  • 3.53, Аноним (53), 09:38, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как всегда, нужный 1% кода, который всё делает - на Си, и 99% - обвязка на расте.
     
     
  • 4.87, Аноним (87), 16:44, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кинуть ссылку на этот сишный код тебя не затруднит Или как всегда, сморозил глу... большой текст свёрнут, показать
     
  • 3.61, Аноним (61), 10:38, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда уже твой раст без питона и "дырявой сишки" можна будет собрать: https://www.opennet.ru/openforum/vsluhforumID3/123086.html#386
     
     
  • 4.67, alex312 (?), 11:43, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    когда уже дырявую сишку можно будет собрать без баша, перла, питона?
     
     
  • 5.96, Аноним (93), 19:59, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В каком месте мой makefile требует баш, перл и питон?
     
     
  • 6.105, Аноним (106), 21:15, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В каком месте мой makefile требует баш, перл и питон?

    https://gcc.gnu.org/install/prerequisites.html
    > Perl version between 5.6.1 and 5.6.24

     
  • 4.68, Аноним (11), 11:45, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, это разумеется проблема и когда-то сделать полный бустрап. Просто еще не успели переписать все что сишники наговнокодили за почти 50 лет его существования. А питон - чего его выкидывать? Вполне безопасный язык, медленный правда, но для скриптов скорость и не нужна.
     
     
  • 5.97, Аноним (93), 20:00, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И еще 50 лет переписывать будут. А там либо шах, либо ишак.
     
  • 5.114, draw1 (?), 03:40, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > все что сишники наговнокодили за почти 50 лет его существования

    Ну ты же этим, я надеюсь, не пользуешься? В смысле, ты же не жрёшь то, что обсираешь и не обсираешь то что жрёшь? ... но как-то же ты сумел сюда об этом написать, хм-м-м...

     
     
  • 6.124, Аноним (124), 18:18, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Факт что ты ездишь по плохим дорогам лишает тебя права критиковать плохие дороги? Ты ешь в офисной столовке - поэтому не имеешь права жаловаться на пересоленый суп? Или ты сам пойдешь и сваришь его?
    Логика просто шикарная.
     
     
  • 7.127, draw1 (?), 00:22, 04/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я на эти дороги плачу деньги (и уже не один десяток лет). Поэтому когда я их критикую, я в роли заказчика, которого на@#$ли исполнители - деньги взяли, а работу сделали плохо.

    С офисной столовкой случай совсем другой - если суп пересолен, то я именно это критикую и могу продолжать там питаться - это нормальная критика. Но если я кругом кричу что "они криворукие уроды и готовят сплошное говно" (это уже не критика, кстати) и продолжаю ходить туда есть, то это уже я двуличная скотина.
    Вот такая вот "тонкая" грань.

    Если я говорю про столовку "там одно говно", то я хожу в другую. А если нет желания и/или возможности ходить в другую, то и нечего бросаться громкими словами. Вот такая логика.

    Чтобы расставить: пренебрежительное "наговнокодили", причем сказанное огульно, про всё сразу - это ни разу не критика, это аналог воплей "в этой столовке сплошное говно". В этом случае - либо не пользуйся, либо извинись и заткнись.

     

  • 1.4, Аноним (4), 22:06, 29/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тысячи глаз. У меня то как раз 1.9.0. Я так понимаю всякие nettle более низкоуровневые, а сабж практически нигде за пределами gnupg не используется? Если это так, то всё же есть логика в том чтобы избегать подобных обскурных высокоуровневых прослоек.
     
     
  • 2.5, Аноним (4), 22:08, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из заметных пользователей kwallet и pidgin-otr, И libktorrent внезапно.
     

  • 1.6, Аноним (6), 22:09, 29/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > и вызвана изменением в новой реализации хэш-функций, внесённым около двух лет назад

    Работает - не трогай!

     
     
  • 2.8, Wilem82 (ok), 22:13, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    «Не сломалось - не чини» - известный девиз говнокодеров. Поскольку у них всё на соплях, малейшее движение рушит всю систему. Поэтому да. Ценный совет.
     
     
  • 3.29, Аноним (4), 01:15, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не обязательно, просто новый непроверенный код будет с багами. А старый ломается в основном потому, что это теперь другой разработчик, который может быть в курсе некоторых аспектов. Или он в силу разных обстоятельств не может обеспечить тех уровня качества и рецензированности, что и прошлый разработчик.
     
     
  • 4.31, Wilem82 (ok), 02:16, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С одной стороны - да Это неизбежно С другой стороны, из этого следует, что про... большой текст свёрнут, показать
     
     
  • 5.37, Аноним (-), 04:15, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У си довольно приличная система типов - вот что-что а на типы он вонять умеет неплохо. Сидиотничать можно, конечно, но все же.
     
     
  • 6.40, Аноньимъ (ok), 05:16, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы неочень понимаете о чём речь идёт.
    В С с некоторой точки зрения вообще типов нет.

    Что-то конечно похожее есть, но, войд указатель это всё стирает как та чёрная дыра.
    Скорее их нет чем они есть в общем.

     
     
  • 7.98, Аноним (-), 20:07, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я то как раз очень хорошо понимаю что в сишке с типами. И знаю что если я дам ему что-то левое, вонять будет. А void* примерно как unsafe в расте. То-есть поюзать на свою задницу можно, но корректность того что за этим следует на совести програмера.

    И да, без таких вещей яп просто не будет пригоден для системного программирования. И там вообще так по жизни довольно много небезопасных вещей. Так вон даже GOпники с фуксией вроде задолбались, что-то дрова и системные компоненты на го им не нравится :). Наверное, секрет в том что тявкать из кустов одно, а програмить это - другое.

     
     
  • 8.108, Ordu (ok), 23:55, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет unsafe в расте позволяет лишь две особые вещи вызов unsafe функции и разад... большой текст свёрнут, показать
     
     
  • 9.111, Аноньимъ (ok), 00:12, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разработчики компиляторов Си бросили все силы на то чтобы сделать этот портируе... текст свёрнут, показать
     
  • 8.110, Аноньимъ (ok), 00:09, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Без толики упрёка, я боюсь, что вы в принципе очень плохо понимаете что такое ти... большой текст свёрнут, показать
     
  • 5.42, Аноньимъ (ok), 05:29, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, а эти либы сишные вроде либжкрипта и опенссл вообще юнит тестами покрывают?
     
     
  • 6.80, Аноним (11), 13:48, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Удивительно, но тесты есть.
    https://github.com/gpg/libgcrypt/tree/master/tests
    https://github.com/openssl/openssl/tree/master/test
    Покрытие правда неизвестно, кто хочет может поискать.

    Но такой баг тестами покрыть сложно - там нужны особые входные данные. Возможно бы помог fuzz testing, но это уже хипстота и смузихлебство, настоящий сишник на такое не пойдет.

     
     
  • 7.99, Аноним (-), 20:08, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот те раз, syzkaller то оказывается - хипстота?!
     
  • 5.55, Аноним (54), 09:58, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Для этого нужна сильная система типов (поэтому Си, как и Го - в пролёте).

    Не могли бы пояснить, почему в Go слабая система типов?

     
     
  • 6.85, Wilem82 (ok), 15:57, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    P S Только щас понял, что возможно имеет место конфуз - под сильной я имею ввид... большой текст свёрнут, показать
     
     
  • 7.100, Аноним (-), 20:13, 30/01/2021 Скрыто модератором
  • +/
     
  • 3.33, Аноним (-), 04:06, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > «Не сломалось - не чини» - известный девиз говнокодеров.

    Дебианщики как-то раз починили не сломаное. Нет, буфера не переполнялись, но вообще все возможные варианты ключей которые их openssl мог генерить описывались примерно 6Мб блеклистом. Как вы понимаете - это ультра-мега-критикал, когда 6-метровый список содержит ВСЕ ключи ВСЕХ дебианов и прочих убунт на планете. Просто потому что хакеры его быстро сгенерили и пошли получать рут по ssh на вообще всех машинах которые найдут.

     

  • 1.9, Fracta1L (ok), 22:16, 29/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >  выявлена легко эксплуатируемая критическая уязвимость, позволяющая добиться переполнения буфера

    В голосину)

     
  • 1.10, Аноним (11), 22:38, 29/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ахахахаха. Критическая уязвимость от переполнения буфера в либе используемой в ГНУтой утилите для шифрования и подписи данных.
    Oh, wait. You're serious. Let me laugh even harder.

    А по факту... Даже слов нет. Там еще срач не затих про уязвимость sudo, так тут еще подбросили на вентилятор. И всего два года назад добавили, прям свежак.

     
     
  • 2.21, Аноним (21), 23:45, 29/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >  sudo
    > вентилятор

    https://security.archlinux.org/package/opendoas

     
     
  • 3.23, Аноним (4), 00:13, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он кстати единовременно с судо обновился, наверно такая же хрень.
     
     
  • 4.34, Аноним (-), 04:11, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хрень, но вообще совсем другая. Он что-то не так делал с PATH, не очищал его чтоли. Это само по себе к выполнению кода не ведет, но авторы предпочли перестраховаться и получили CVE потому что видимо это позволяет довольно нестандартно одурачивать другие программы или юзера методом не соответствующим докам.

    Вот это я понимаю, культурный подход к секурити.

     
  • 3.30, Мамкин Хакер (?), 01:51, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, дорогой, за информацию! Fixed!

    opendoas-6.8.1-2

     
  • 2.83, Аноним (83), 15:13, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Да сделайте уже лучше-то! А то такой талант на опеннетах пропадает.
     

  • 1.17, Мамкин Хакер (?), 23:13, 29/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    pacman -Ss libgcrypt
    core/libgcrypt 1.9.1-1 [установлен]
    Держу в курсе!
     
     
  • 2.49, Fracta1L (ok), 08:57, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в Манжаре до сих пор даже в тестовой ветке:

    core/libgcrypt 1.8.7-1 [installed]

    Молодцы что не гонят коней)

     
     
  • 3.81, Аноним (81), 14:20, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а мне говорили, что в арче новые версии появляются за два дня до их релиза, обманули?
     
     
  • 4.82, Fracta1L (ok), 14:55, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Манжара это не Арч
     
  • 3.91, Аноним (88), 18:01, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    + , печальная история на самом деле. Надо начинать пилить своё LFS с пакманом и доасами
     

  • 1.22, Аноним (22), 00:10, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    фрактал кукумбер
     
  • 1.24, Аноним (24), 00:33, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В промышленных дистрибутивах дырка не появилась, вот и славно.
     
  • 1.25, Аноним (25), 00:33, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какие популярные приложения пострадали?
     
     
  • 2.47, n00by (ok), 07:31, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие популярные приложения пострадали?

    Freaktail Firmware v0.01

     
  • 2.58, VINRARUS (ok), 10:21, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Fedora 34 и Gentoo, правда они не очень популярные.
     

  • 1.26, Аноньимъ (ok), 00:56, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >позволяющая добиться переполнения буфера

    Раст

     
     
  • 2.35, Аноним (-), 04:12, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где ж вы с фракталом были? Покажите нам как крипту кодить. А мы посмотрим сколько CVE навешаете в крипто вы...
     
     
  • 3.41, Аноньимъ (ok), 05:25, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Далек например гляньте.
    Айсис Агора Лавкрафт на ютубе рассказывает.
     
     
  • 4.45, Аноним (53), 07:23, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а кроме как "на ютубе рассказывает" - есть применения?
     
  • 4.101, Аноним (-), 20:17, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может на тиктоке еще глянуть? Странные какие-то места чтобы крипто затариться.
     
     
  • 5.109, Аноньимъ (ok), 23:56, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Может на тиктоке еще глянуть? Странные какие-то места чтобы крипто затариться.

    А какие не странные? Чем по вашему ютуб странный для обсуждения криптографии?
    На нем и профессора выступают на эту тематику.

     
  • 3.43, Аноньимъ (ok), 05:35, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот ещё выше было https://github.com/rpgp/rpgp

    И раз уж о крипте речь зашла, то её реализация это сложный процесс в котором легко себе заднюю часть отстрелить гранатомётом.

    Последнее что в этом процессе нужно это возможность ещё и в ногу себе стрелять.

     
     
  • 4.46, Аноним (53), 07:24, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > это сложный процесс ... легко себе заднюю часть отстрелить гранатомётом

    т.е. раст тут никак не поможет.

     
     
  • 5.50, Лыжная дрель (?), 09:04, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чуть-чуть поможет, но переписывание может не стоить того
     
     
  • 6.102, Аноним (-), 20:19, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чуть-чуть поможет. И сколько-то помешает. При том в отличие от сей это вы как раз и протестируете на себе. И если там потом окажутся какие-нибудь ключи предсказуемые или тупняк в экспоненте, починеный вон теми олдскульщиками 15 лет назад - кто ж из хипсторов на чужих ошибках то учится? Это неспортивно.
     
  • 5.63, Аноним (63), 11:11, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Звучит как-то так:
    "Есть средство, позволяющее избежать хорошей части ошибок работы с памятью, но мы им пользоваться не будем, все равно где-нибудь еще ошибемся"

    Сгорел сарай - гори и хата. И это при второй на этой неделе ошибке из-за битья памяти

     
  • 2.38, Аноним (53), 04:32, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На нём разве можно что-то написать работающее? Даже Мозила уже отказалась и выгнала растаманов.
     
     
  • 3.60, VINRARUS (ok), 10:23, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >На нём разве можно что-то написать работающее?

    На нём можна отлично посылать ненависников на /dev/null

     
  • 3.74, Аноним (71), 12:15, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет софт, нет узявимостей. Язык на 100% безопасен.
     
  • 2.73, Аноним (71), 12:14, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Раст не спасает от говнокода. Даже безголовый фрактал в этом месте напишет unsafe и выйдет за все мыслимые границы.
     

  • 1.28, Аноним (2), 01:06, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль что не на стадии проверки подписи - опять всякие говнодистры, не использующие TLS для доставки пакетов, и их пользователей поимели бы.
     
     
  • 2.36, Аноинм (?), 04:14, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Поиметь реально только федору и генту. Зачем вам эти багодромы? У вас бэкдор через неделю сдохнет в жестоких глюках %)
     

  • 1.52, Аноним (53), 09:36, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Критическая уязвимость в Libgcrypt ... затрагивающая systemd

    Критическая уязвимость в Libgcrypt ... затрагивающая другую критическую уязвимость.

     
     
  • 2.57, VINRARUS (ok), 10:18, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Критическая уязвимость в Libgcrypt ... затрагивающая systemd
    > Критическая уязвимость в Libgcrypt ... затрагивающая другую критическую уязвимость.

    Критические уязвимости — обьеденяйтесь!

     
     
  • 3.79, Аноним (71), 12:23, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Минус на минус даёт плюс
     
     
  • 4.117, Аноним (53), 03:58, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря что перемножать... (-i)*(-i) = -1
     
  • 2.78, Аноним (71), 12:22, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Одна уязвимость создана чтобы следить за другой.
     

  • 1.56, Аноним (61), 10:16, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > эксплуатируемая критическая уязвимость, позволяющая добиться переполнения буфера при попытке расшифровки специально оформленных данных, на стадии до верификации или проверки цифровой подписи.

    Заказ товмайора, а то зашифровались все, почитать нечего, скушно..

     
  • 1.59, Аноним (61), 10:23, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > уже успели включить в состав репозиториев Fedora 34 (Rawhide) и Gentoo

    https://packages.gentoo.org/packages/dev-libs/libgcrypt

    Стабильна версия в Gentoo: libgcrypt-1.8.6 уязвимости не подвержена.

    Этот баг очень хороший аргумент за использование стабильной ветки Gentoo, а не тестовой.

    Было когда-то предложение разделить стабильную ветвь Gentoo на две: стабилизированная и верифицированная ветвь и сегодняшняя стабильная. Наверно надо было, а сегодня есть желающие тянуть?

     
     
  • 2.75, Аноним (71), 12:17, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да они называются Ubuntu LTS и CentOS 7
     
     
  • 3.103, Аноним (-), 20:21, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Debian еще есть, 10-й. Из него меньше подарков выковыривать чем из убунт
     

  • 1.69, Аноним (69), 11:46, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    опять это пресловутое переполнение буфера...
    когда уже программы начнут писать программисты, а не дворники?
     
     
  • 2.77, Аноним (71), 12:18, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда ты уже начнешь думать головой и перестанешь верить заголовкам. Это фича для кого надо, а не случайно ошибка разработчика.
     
     
  • 3.84, alex312 (?), 15:21, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    шапочка из фольги не жмет голову?
     
     
  • 4.104, Аноним (-), 20:22, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В челябинске фольга настолько сурова что жмет голову.
     
  • 2.90, Аноним (88), 17:54, 30/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Там проблема не в переполнении буфера, а ...

    > Изменение сводилось к оптимизации, заменяющей рекурсивный вызов функции на использование buf_cpy для копирования буферов. Оптимизация была добавлена для обеспечения постоянного времени выполнения операций с блоками, из-за опасения подверженности кода атакам, анализирующим зависимость скорости выполнения операций от обрабатываемых данных (timing attacks).

    ... а в мании прослушки.

     

  • 1.89, Аноним (88), 17:52, 30/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Изменение сводилось к оптимизации, заменяющей рекурсивный вызов функции на использование buf_cpy для копирования буферов. Оптимизация была добавлена для обеспечения постоянного времени выполнения операций с блоками, из-за опасения подверженности кода атакам, анализирующим зависимость скорости выполнения операций от обрабатываемых данных (timing attacks).

    Напомните, библиотека рассчитана на суперзащищенный ящик стоящий посреди поля, или на обычный десктоп, который находится за такой кучей "временнЫх" помех, что подобная оптимизация — следствие повальной истерии и паранои?

     
     
  • 2.116, Аноним (53), 03:54, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда не было яойфонов и суперзащит - люди летали на Луну...
     

  • 1.112, песик (?), 02:06, 31/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что системда шифрует? Че за бред вообще? Система инициализации и крипта? Теперь я видел все...
     
     
  • 2.115, Аноним (53), 03:52, 31/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    системда - это зародыш винды в линухе.
     
     
  • 3.122, МАРКС (?), 00:46, 01/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Винда лучше
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру