工具包发布 (GNU 隐私卫士),兼容 OpenPGP 标准()和 S/MIME,并提供数据加密、电子签名、密钥管理和访问公钥存储的实用程序。 新版本修复了一个严重漏洞(),从版本 2.2.21 开始出现,并在导入专门设计的 OpenPGP 密钥时被利用。
使用专门设计的大量 AEAD 算法导入密钥可能会导致数组溢出和崩溃或未定义的行为。 值得注意的是,创建一个不仅导致崩溃的漏洞是一项艰巨的任务,但不能排除这种可能性。 开发漏洞的主要困难在于攻击者只能控制序列的每隔一个字节,并且第一个字节始终采用值 0x04。 具有数字密钥验证的软件分发系统是安全的,因为它们使用预定义的密钥列表。
来源: opennet.ru