ProHoster > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಸಂದೇಶ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅನುಮತಿಸುವ OpenPGP.js ಲೈಬ್ರರಿಯಲ್ಲಿನ ದುರ್ಬಲತೆ

ಸಂದೇಶ ಪರಿಶೀಲನೆಯನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅನುಮತಿಸುವ OpenPGP.js ಲೈಬ್ರರಿಯಲ್ಲಿನ ದುರ್ಬಲತೆ

OpenPGP.js ಲೈಬ್ರರಿಯಲ್ಲಿ ಒಂದು ದುರ್ಬಲತೆಯನ್ನು (CVE-2025-47934) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ಆಕ್ರಮಣಕಾರರಿಗೆ ಮಾರ್ಪಡಿಸಿದ ಸಂದೇಶವನ್ನು ಕಳುಹಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಅದನ್ನು ಸ್ವೀಕರಿಸುವವರು ಪರಿಶೀಲಿಸಲಾಗಿದೆ ಎಂದು ಗ್ರಹಿಸುತ್ತಾರೆ (openpgp.verify ಮತ್ತು openpgp.decrypt ಕಾರ್ಯಗಳು ಡಿಜಿಟಲ್ ಸಹಿಯ ಯಶಸ್ವಿ ಪರಿಶೀಲನೆಯ ಸೂಚನೆಯನ್ನು ಹಿಂತಿರುಗಿಸುತ್ತದೆ, ವಿಷಯವನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ ಮತ್ತು ಸಹಿಯನ್ನು ರಚಿಸಿದ ಡೇಟಾದಿಂದ ಭಿನ್ನವಾಗಿದೆ ಎಂಬ ಅಂಶದ ಹೊರತಾಗಿಯೂ). OpenPGP.js 5.11.3 ಮತ್ತು 6.1.1 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ. ಈ ಸಮಸ್ಯೆಯು OpenPGP.js 5.x ಮತ್ತು 6.x ಶಾಖೆಗಳ ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು OpenPGP.js 4.x ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ.

OpenPGP.js ಲೈಬ್ರರಿಯು OpenPGP ಪ್ರೋಟೋಕಾಲ್‌ನ ಸ್ವಯಂ-ಒಳಗೊಂಡಿರುವ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಅನುಷ್ಠಾನವನ್ನು ಒದಗಿಸುತ್ತದೆ, ಇದು ಬ್ರೌಸರ್‌ನಲ್ಲಿ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಮತ್ತು ಸಾರ್ವಜನಿಕ-ಕೀ-ಆಧಾರಿತ ಡಿಜಿಟಲ್ ಸಹಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಈ ಯೋಜನೆಯನ್ನು ಪ್ರೋಟಾನ್ ಮೇಲ್ ಡೆವಲಪರ್‌ಗಳು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತಿದ್ದಾರೆ ಮತ್ತು ಪ್ರೋಟಾನ್ ಮೇಲ್‌ನಲ್ಲಿ ಸಂದೇಶಗಳ ಅಂತ್ಯದಿಂದ ಅಂತ್ಯದ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಸಂಘಟಿಸುವುದರ ಜೊತೆಗೆ, ಫ್ಲೋಕ್ರಿಪ್ಟ್, ಮೈಮೇಲ್-ಕ್ರಿಪ್ಟ್, ಯುಡಿಸಿ, ಎನ್‌ಕ್ರಿಪ್ಟ್.ಟು, ಪಿಜಿಪಿ ಎನಿವೇರ್ ಮತ್ತು ಪಾಸ್‌ಬೋಲ್ಟ್‌ನಂತಹ ಯೋಜನೆಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ.

ಎಂಬೆಡೆಡ್ ಪಠ್ಯ ಸಹಿಗಳು (openpgp.verify) ಮತ್ತು ಸಹಿ ಮಾಡಿದ ಮತ್ತು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಂದೇಶಗಳು (penpgp.decrypt) ಪರಿಶೀಲನಾ ಕಾರ್ಯವಿಧಾನಗಳ ಮೇಲೆ ದುರ್ಬಲತೆಯು ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಆಕ್ರಮಣಕಾರನು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಸಹಿ ಮಾಡಿದ ಸಂದೇಶಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಹೊಸ ಸಂದೇಶಗಳನ್ನು ರೂಪಿಸಬಹುದು, ಆ ಸಂದೇಶಗಳನ್ನು OpenPGP.js ನ ದುರ್ಬಲ ಆವೃತ್ತಿಯಿಂದ ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದಾಗ, ಮೂಲ ಸಹಿ ಮಾಡಿದ ಸಂದೇಶದ ವಿಷಯಕ್ಕಿಂತ ಭಿನ್ನವಾಗಿರುವ ಬದಲಿ ವಿಷಯವನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ. ಪಠ್ಯದಿಂದ ಪ್ರತ್ಯೇಕವಾಗಿ ವಿತರಿಸಲಾದ ಸಹಿಗಳ ಮೇಲೆ ದುರ್ಬಲತೆಯು ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ (ಸಹಿಯನ್ನು ಪಠ್ಯದೊಂದಿಗೆ ಒಂದೇ ಡೇಟಾ ಬ್ಲಾಕ್ ಆಗಿ ರವಾನಿಸಿದಾಗ ಮಾತ್ರ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ).

ನಕಲಿ ಸಂದೇಶವನ್ನು ರಚಿಸಲು, ದಾಳಿಕೋರನಿಗೆ ಎಂಬೆಡೆಡ್ ಅಥವಾ ಪ್ರತ್ಯೇಕ ಸಹಿಯೊಂದಿಗೆ ಒಂದು ಸಂದೇಶ ಮಾತ್ರ ಇರಬೇಕು, ಜೊತೆಗೆ ಈ ಸಂದೇಶದಲ್ಲಿ ಸಹಿ ಮಾಡಲಾದ ಮೂಲ ಡೇಟಾದ ಜ್ಞಾನವೂ ಇರಬೇಕು. ಆಕ್ರಮಣಕಾರನು ಸಂದೇಶವನ್ನು ಮಾರ್ಪಡಿಸಬಹುದು ಇದರಿಂದ ಸಹಿಯ ಮಾರ್ಪಡಿಸಿದ ಆವೃತ್ತಿಯನ್ನು ಇನ್ನೂ ಸರಿಯಾಗಿ ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ. ಅದೇ ರೀತಿ, ಸಹಿಯೊಂದಿಗೆ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂದೇಶಗಳನ್ನು ಮಾರ್ಪಡಿಸಬಹುದು ಇದರಿಂದ ಅವುಗಳನ್ನು ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದಾಗ, ದಾಳಿಕೋರರು ಸೇರಿಸಿದ ಡೇಟಾವನ್ನು ಹಿಂತಿರುಗಿಸಲಾಗುತ್ತದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ