https://opennet.me/openforum/vsluhforumID3/114538.html Опубликован (https://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000425.html) выпуск инструментария GnuPG 2.2.8 (https://www.gnupg.org/) (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880 (https://tools.ietf.org/html/rfc4880)) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена уязвимость (CVE-2018-12020 (https://security-tracker.debian.org/tracker/CVE-2018-12020)), позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Уязвимость проявляется во всех версиях GnuPG и на всех платформах. <br><br><br><br>Проблема вызвана отсутствием должной проверки имени файла, которое может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле. В процессе расшифровки и проверки цифровой подписи данное имя выводится на экран или в лог, но из-за отсутствия проверки может включать управляющие символы, в том https://opennet.me/openforum/vsluhforumID3/114538.html#25 Sun, 02 Sep 2018 11:41:28 GMT test message<br> https://opennet.me/openforum/vsluhforumID3/114538.html#24 Mon, 11 Jun 2018 14:05:19 GMT Маня, ты хотябы разберись что такое шифрование, а что есть хеширование. <br>перед тем как чтолибо писать.<br> https://opennet.me/openforum/vsluhforumID3/114538.html#23 Mon, 11 Jun 2018 02:37:39 GMT printf '%q\n' 'This is a #&*$string'<br> https://opennet.me/openforum/vsluhforumID3/114538.html#22 Sun, 10 Jun 2018 11:28:44 GMT Не будет обратной совместимости. Гигатонны мезозойской перловки и баша перестанут работать.<br> https://opennet.me/openforum/vsluhforumID3/114538.html#21 Sun, 10 Jun 2018 05:29:05 GMT А можно просто добавить управляющий символ "ограничить управляющие символы до завершения программы которая его отправила"?<br>Или это уж слишком?<br> https://opennet.me/openforum/vsluhforumID3/114538.html#17 Sat, 09 Jun 2018 15:47:42 GMT Ну такое решение бы вступило в конфликт с простотой использования скриптовых языков. Теперь же это такой эверест гуана, что подступаться к нему никто и не пытается. Вон, systemd сделали, попробовали загнать всю эту скриптовую жуть хоть в какое-то подобие рамок, так и то вони сколько со всех сторон.<br> https://opennet.me/openforum/vsluhforumID3/114538.html#16 Sat, 09 Jun 2018 15:00:25 GMT Достаточно было в баше ввести тип экранированных строк без всяких левых символов, для передачи данных - и этих проблем было бы в 100 раз меньше. Но поезд ушел, это надо было делать 30 лет назад, сейчас всё так привыкли жрать кактус, что не оттащить<br> https://opennet.me/openforum/vsluhforumID3/114538.html#15 Sat, 09 Jun 2018 14:21:24 GMT Проблема эта общая для всех средств, работающих через типичный терминал. Для всех. Терминал в принципе небезопасен в этом смысле.<br> https://opennet.me/openforum/vsluhforumID3/114538.html#14 Sat, 09 Jun 2018 12:53:06 GMT &gt;&gt;скомпроментированный SHA-1 <br>&gt; --Шнайер в 2005-ом.<br>&gt; И да, 13 лет &lt;&lt; anytime soon.<br><br>Или https://www.schneier.com/cgi-bin/mt/mt-search.cgi?search=SHA-1&__mode=tag&IncludeBlogs=2&limit=10&page=1 да.<br><br>&gt;&gt;&gt;&gt; GPG является наиболее мощным <br>&gt;&gt; А может немо <br>&gt; Ложь, наглая ложь и форумная "криптография".<br>&gt; Сам пошёл.