wydanie zestawu narzędzi (GNU Privacy Guard), kompatybilny ze standardami OpenPGP () i S/MIME oraz zapewnia narzędzia do szyfrowania danych, pracy z podpisami elektronicznymi, zarządzania kluczami i dostępu do magazynów kluczy publicznych. Nowa wersja naprawia krytyczną lukę (), który pojawia się począwszy od wersji 2.2.21 i jest wykorzystywany podczas importowania specjalnie zaprojektowanego klucza OpenPGP.
Importowanie klucza ze specjalnie zaprojektowaną dużą listą algorytmów AEAD może prowadzić do przepełnienia tablicy i awarii lub niezdefiniowanego zachowania. Należy zauważyć, że stworzenie exploita, który nie tylko doprowadzi do awarii, jest trudnym zadaniem, ale nie można wykluczyć takiej możliwości. Główna trudność w opracowaniu exploita wynika z faktu, że atakujący może kontrolować tylko co drugi bajt sekwencji, a pierwszy bajt zawsze przyjmuje wartość 0x04. Systemy dystrybucji oprogramowania z cyfrową weryfikacją kluczy są bezpieczne, ponieważ korzystają z predefiniowanej listy kluczy.
Źródło: opennet.ru