GnuPG 2.2.23 ዝማኔ ከወሳኝ የተጋላጭነት ማስተካከያ ጋር

የታተመ የመሳሪያ ስብስብ መለቀቅ ጂኑፒጂ 2.2.23 (ጂኤንዩ የግላዊነት ጠባቂ)፣ ከOpenPGP መስፈርቶች ጋር ተኳሃኝ (አር.ሲ.ኤፍ.-4880) እና S/MIME፣ እና ለመረጃ ምስጠራ መገልገያዎችን፣ ከኤሌክትሮኒካዊ ፊርማዎች ጋር አብሮ በመስራት፣ በቁልፍ አስተዳደር እና የህዝብ ቁልፍ ማከማቻዎች መዳረሻን ያቀርባል። አዲሱ ስሪት ወሳኝ ተጋላጭነትን ያስተካክላል (CVE-2020-25125) ከስሪት 2.2.21 ጀምሮ የሚታየው እና በልዩ ሁኔታ የተነደፈ የOpenPGP ቁልፍ ሲያስገቡ ጥቅም ላይ ይውላል።

በልዩ ሁኔታ የተነደፈ ትልቅ የ AEAD ስልተ ቀመሮችን የያዘ ቁልፍን ማስመጣት ወደ ድርድር መብዛት እና ብልሽት ወይም ያልተገለጸ ባህሪን ያስከትላል። ለብልሽት ብቻ የሚዳርግ ብዝበዛ መፍጠር ከባድ ስራ ቢሆንም ይህን የመሰለ እድል ሊወገድ እንደማይችልም ተጠቅሷል። ብዝበዛን ለማዳበር ዋናው ችግር አጥቂው እያንዳንዱን ሴኮንድ ባይት በቅደም ተከተል ብቻ መቆጣጠር ስለሚችል እና የመጀመሪያው ባይት ሁልጊዜ ዋጋውን 0x04 ይወስዳል. የዲጂታል ቁልፍ ማረጋገጫ ያላቸው የሶፍትዌር ማከፋፈያዎች አስተማማኝ ናቸው ምክንያቱም አስቀድሞ የተወሰነ የቁልፍ ዝርዝር ይጠቀማሉ።

ምንጭ: opennet.ru