Toolkit-Veröffentlichung (GNU Privacy Guard), kompatibel mit OpenPGP-Standards () und S/MIME und bietet Dienstprogramme für die Datenverschlüsselung, die Arbeit mit elektronischen Signaturen, die Schlüsselverwaltung und den Zugriff auf öffentliche Schlüsselspeicher. Die neue Version behebt eine kritische Schwachstelle (), die ab Version 2.2.21 auftritt und beim Import eines speziell entwickelten OpenPGP-Schlüssels ausgenutzt wird.
Das Importieren eines Schlüssels mit einer speziell entwickelten großen Liste von AEAD-Algorithmen kann zu einem Array-Überlauf und -Absturz oder zu undefiniertem Verhalten führen. Es wird darauf hingewiesen, dass die Erstellung eines Exploits, der nicht nur zum Absturz führt, eine schwierige Aufgabe ist, eine solche Möglichkeit jedoch nicht ausgeschlossen werden kann. Die Hauptschwierigkeit bei der Entwicklung eines Exploits liegt darin, dass der Angreifer nur jedes zweite Byte der Sequenz kontrollieren kann und das erste Byte immer den Wert 0x04 annimmt. Softwareverteilungssysteme mit digitaler Schlüsselüberprüfung sind sicher, da sie eine vordefinierte Liste von Schlüsseln verwenden.
Source: opennet.ru