اہم خطرے کے حل کے ساتھ GnuPG 2.2.23 اپ ڈیٹ

شائع ہوا ٹول کٹ کی رہائی GnuPG 2.2.23۔ (GNU پرائیویسی گارڈ)، OpenPGP معیارات کے ساتھ ہم آہنگ (آر ایف سی -4880) اور S/MIME، اور ڈیٹا انکرپشن، الیکٹرانک دستخطوں کے ساتھ کام کرنے، کلیدی انتظام اور عوامی کلیدی اسٹورز تک رسائی کے لیے افادیت فراہم کرتا ہے۔ نیا ورژن ایک اہم خطرے کو ٹھیک کرتا ہے (CVE-2020-25125)، جو ورژن 2.2.21 سے شروع ہوتا ہے اور خاص طور پر ڈیزائن کردہ OpenPGP کلید کو درآمد کرتے وقت اس کا استحصال کیا جاتا ہے۔

AEAD الگورتھم کی خاص طور پر ڈیزائن کی گئی بڑی فہرست کے ساتھ کلید درآمد کرنے سے ارے اوور فلو اور کریش یا غیر متعینہ رویہ ہو سکتا ہے۔ واضح رہے کہ ایسا استحصال پیدا کرنا جو نہ صرف حادثے کا باعث بنے، ایک مشکل کام ہے، لیکن ایسے امکان کو رد نہیں کیا جا سکتا۔ ایک استحصال کو تیار کرنے میں سب سے بڑی مشکل اس حقیقت کی وجہ سے ہے کہ حملہ آور صرف ترتیب کے ہر دوسرے بائٹ کو کنٹرول کر سکتا ہے، اور پہلا بائٹ ہمیشہ 0x04 کی قدر لیتا ہے۔ ڈیجیٹل کلید کی تصدیق کے ساتھ سافٹ ویئر ڈسٹری بیوشن سسٹم محفوظ ہیں کیونکہ وہ چابیاں کی پہلے سے طے شدہ فہرست استعمال کرتے ہیں۔

ماخذ: opennet.ru