GnuPG: nie używajcie naszego libgcrypt 1.9.0. Znaleziono poważną podatność: można prawdopodobnie wykonać kod w OS na systemie ofiary

29 stycznia 2021, 13:02 | W biegu | 0 komentarzy
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Projekt GnuPG po 4 latach wypuścił nową, dużą wersję biblioteki libgcrypt. Jednak dość szybko okazało się że jest w niej naprawdę poważna podatność…

Tutaj czytamy:

On 2021-01-28 Tavis Ormandy contacted us to report a severe bug in 1.9.0
which he found while testing GnuPG:

There is a heap buffer overflow in libgcrypt due to an incorrect
assumption in the block buffer management code. Just decrypting some
data can overflow a heap buffer with attacker controlled data, no
verification or signature is validated before the vulnerability
occurs.

Więc wygląda na to że można przesłać komuś odpowiednią informację do zdeszyfrowania – i na jego komputerze zostanie wykonany nasz kod.

Tutaj z kolej sam projekt wspomina, że podatność rzeczywiście jest exploitowalna.

Szczęście w nieszczęściu, podatna wersja nie została jeszcze szeroko rozpylona do dystrybucji Linuksa. Choć np. Gentoo zdążył ją zaanektować.

GnuPG wypuściło już poprawioną wersję libgcrypt – 1.9.1

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz