Обновление GnuPG 2.2.23 с устранением критической уязвимости

Опубликован релиз инструментария GnuPG 2.2.23 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21 и эксплуатируемая при импорте специально оформленного ключа OpenPGP.

Импорт ключа со специально оформленным большим списком AEAD-алгоритмов может привести к переполнению массива и краху или неопределённому поведению. Отмечается, что создание эксплоита, приводящего не только к краху, является сложной задачей, но такая возможность не исключается. Основная сложность при разработке эксплоита связана с тем, что атакующий может контролировать только каждый второй байт последовательности, а первый байт всегда принимает значение 0x04. Системы распространения ПО с верификацией по цифровым ключам вне опасности, так как в них используется предопределённый список ключей.

Источник: opennet.ru