중요한 취약점을 수정한 GnuPG 2.2.23 업데이트

게시 됨 툴킷 릴리스 그누PG 2.2.23 (GNU Privacy Guard), OpenPGP 표준과 호환됨(RFC-4880) 및 S/MIME을 제공하며 전자 서명, 키 관리 및 공개 키 저장소에 대한 액세스 작업을 수행하는 데이터 암호화용 유틸리티를 제공합니다. 새 버전에서는 심각한 취약점(CVE-2020-25125)는 버전 2.2.21부터 나타나며 특별히 설계된 OpenPGP 키를 가져올 때 악용됩니다.

특별히 설계된 대규모 AEAD 알고리즘 목록을 사용하여 키를 가져오면 배열 오버플로 및 충돌이 발생하거나 정의되지 않은 동작이 발생할 수 있습니다. 크래시를 유발할 뿐만 아니라 익스플로잇을 생성하는 것은 어려운 작업이지만, 그러한 가능성도 배제할 수는 없다는 점에 주목합니다. 익스플로잇 개발의 가장 큰 어려움은 공격자가 시퀀스의 모든 두 번째 바이트만 제어할 수 있고 첫 번째 바이트는 항상 0x04 값을 사용한다는 사실 때문입니다. 디지털 키 검증 기능을 갖춘 소프트웨어 배포 시스템은 미리 정의된 키 목록을 사용하므로 안전합니다.

출처 : opennet.ru