پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > GnuPG 2.2.17 کي جاري ڪيو تبديلين سان گڏ ڪيئي سرورز تي حملي کي منهن ڏيڻ لاءِ

GnuPG 2.2.17 کي جاري ڪيو تبديلين سان گڏ ڪيئي سرورز تي حملي کي منهن ڏيڻ لاءِ

شايع ٿيل toolkit ڇڏڻ آر پي او 2.2.17 (GNU رازداري گارڊ)، OpenPGP معيار سان مطابقت رکندڙ (آر ايف سي -4880) ۽ S/MIME، ۽ ڊيٽا انڪرپشن لاءِ يوٽيلٽيز مهيا ڪري ٿو، اليڪٽرانڪ دستخطن سان ڪم ڪرڻ، ڪيئي انتظام ۽ عوامي ڪي اسٽورن تائين پهچ. ياد رهي ته GnuPG 2.2 برانچ ڊولپمينٽ رليز جي طور تي پوزيشن ڪئي وئي آهي جنهن ۾ نيون خاصيتون شامل ٿيڻ جاري آهن؛ صرف 2.1 برانچ ۾ اصلاحي سڌارن جي اجازت آهي.

نئين مسئلي کي منهن ڏيڻ لاء قدمن جي تجويز پيش ڪري ٿي اهم سرور تي حملو, GnuPG hanging ۽ ڪم جاري رکڻ جي ناڪامي جي ڪري جيستائين مسئلو وارو سرٽيفڪيٽ مقامي اسٽور مان حذف نه ڪيو وڃي يا تصديق ٿيل پبلڪ ڪنجين جي بنياد تي سرٽيفڪيٽ اسٽور کي ٻيهر نه بڻايو وڃي. شامل ڪيل تحفظ مڪمل طور تي نظر انداز ڪرڻ تي ٻڌل آهي ڊفالٽ سڀني ٽئين پارٽي جي ڊجيٽل دستخطن جي سرٽيفڪيٽن جي اهم اسٽوريج سرورز کان حاصل ڪيل. اچو ته ياد رکون ته ڪو به صارف ڪيئي اسٽوريج سرور ۾ صوابديدي سرٽيفڪيٽ لاءِ پنهنجو ڊجيٽل دستخط شامل ڪري سگهي ٿو، جيڪو حملي ڪندڙن طرفان استعمال ڪيو ويندو آهي وڏي تعداد ۾ اهڙن دستخطن (هڪ لک کان وڌيڪ) قرباني جي سرٽيفڪيٽ لاءِ، جنهن جي پروسيسنگ GnuPG جي عام آپريشن کي روڪي ٿو.

ٽئين پارٽي جي ڊجيٽل دستخطن کي نظر انداز ڪرڻ "صرف خود-سگس-صرف" اختيار جي ذريعي منظم ڪيو ويندو آهي، جيڪو صرف تخليق ڪندڙن جي پنهنجي دستخط کي چابيون لاء لوڊ ڪرڻ جي اجازت ڏئي ٿو. پراڻي رويي کي بحال ڪرڻ لاءِ، توھان gpg.conf ۾ "keyserver-options no-self-sigs-only,no-import-clean" سيٽنگ شامل ڪري سگھو ٿا. ان کان علاوه، جيڪڏهن آپريشن دوران ڪيترن ئي بلاڪن جي درآمد جو پتو لڳايو ويو آهي، جيڪو مقامي اسٽوريج (pubring.kbx) جي اوور فلو جو سبب بڻجندو، هڪ غلطي ڏيکارڻ جي بدران، GnuPG خودڪار طريقي سان ڊجيٽل دستخطن کي نظر انداز ڪرڻ جي موڊ کي تبديل ڪري ٿو (“self-sigs -صرف، درآمد-صاف").

ميڪانيزم کي استعمال ڪندي ڪيچ کي تازه ڪاري ڪرڻ لاء ويب ڪيئي ڊاريڪٽري (WKD) شامل ڪيو ويو "--locate-external-key" آپشن جيڪو تصديق ٿيل عوامي ڪنجين جي بنياد تي سرٽيفڪيٽ اسٽور کي ٻيهر ٺاهڻ لاءِ استعمال ڪري سگھجي ٿو. جڏهن "--auto-key-retrieve" آپريشن کي انجام ڏيو، WKD ميڪانيزم کي هاڻي ڪي سرورز تي ترجيح ڏني وئي آهي. WKD جو خلاصو اهو آهي ته ويب تي پبلڪ ڪيز کي پوسٽل ايڊريس ۾ بيان ڪيل ڊومين جي لنڪ سان. مثال طور، پتي لاء "[ايميل محفوظ ٿيل]"کي کي لنڪ ذريعي ڊائون لوڊ ڪري سگھجي ٿو "https://example.com/.well-known/openpgpkey/hu/183d7d5ab73cfceece9a5594e6039d5a".

جو ذريعو: opennet.ru

تبصرو شامل ڪريو