工具包發布 (GNU 隱私衛士),相容於 OpenPGP 標準()和 S/MIME,並提供資料加密、電子簽章、金鑰管理和存取公鑰儲存的實用程式。 新版本修復了一個嚴重漏洞(),從版本 2.2.21 開始出現,並在導入專門設計的 OpenPGP 金鑰時被利用。
使用專門設計的大量 AEAD 演算法導入金鑰可能會導致陣列溢出和崩潰或未定義的行為。 值得注意的是,創建一個不僅導致崩潰的漏洞是一項艱鉅的任務,但不能排除這種可能性。 開發漏洞的主要困難在於攻擊者只能控制序列的每隔一個位元組,而第一個位元組始終採用值 0x04。 具有數位金鑰驗證的軟體分發系統是安全的,因為它們使用預先定義的金鑰清單。
來源: opennet.ru