URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138819
[ Назад ]
Исходное сообщение
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "
Отправлено opennews , 28-Дек-25 13:21 
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP  и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке  шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64517

Содержание
Сообщения в этом обсуждении
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:25 
>Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены.

Еще не все, кто надо, воспользовались :)

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:29 
Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:34 
> Уязвимости в GnuPG

А в этой утилите уже есть расткод?

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:28 
Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.      
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 13:36 
Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:38 
Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:39 
>Анб навязывает Раст

У DARPA получилось "навязать" Интернет всему миру.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:06 
Вместо mesh-сетей, у которых нет рубильника.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:44 
Каждый роутер даже в меш сети рассадник уязвимостей.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:41 
Не понял тут имеется меш сеть типа Yggdrasil? Они же распространены, и уязвимости 1 компьютер из миллиона не в счет
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено penetrator , 28-Дек-25 18:19 
ой а чего это вы фидонет до сих пор не используете?

дураку понятно, что это рынок, скорость и охват все решил

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:13 
> Вместо mesh-сетей

Нежизнеспособная фигня.

> у которых нет рубильника.

Рубильник есть у всего. Если не физический, то в виде закона.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:20 
> Рубильник есть у всего. Если не физический, то в виде закона.

Мало принять закон, нужно добиться его исполнения. Попробуй запретить людям дышать - запрещалку надорвёшь. К тому же, у закона есть условия применения и порядок исполнения.
А вот замечательный Интернет запрещается, замедляется и ограничивается по щелчку пальцев, безо всякого закона, по произволу узкого круга лиц.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:44 
Когда на это требуется 3-5 лет работы десятков тысяч людей, совершенно не честно называть это «по щелчку пальцев».
А сломать можно всё. Без исключений. Если есть решимость и ресурсы на это — то будет сломано.

Уверен, если бы интернет изобрели на 20 лет позже, ни о какой анонимности в нём речи бы не было. Каждый байт имел бы «изготовил-по заданию-проверил-выпустил».

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 21:24 
> Попробуй запретить людям дышать

С этим нет проблем, разве что постепенность требуется (нельзя запрещать всем сразу), но с интернетом ровно то же самое.
https://en.wikipedia.org/wiki/Gas_chamber

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Смузихлеб забывший пароль , 28-Дек-25 19:27 
Ну отчасти да. Не факт, что конкретно им, но, в общем-то, да.
"Интернет" - это, по сути, подобие торговой марки совершенно конкретной сети.

А, в общем и целом, свои собственные сети были у многих, даже у франции была своя собственная( но в итоге прикрыли, заменив американским "интернетом" )

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 07:09 
>У DARPA получилось "навязать" Интернет всему миру.

Никто ничего не навязывал. Интернет стихийно распространился. Конкретно в России Интернет делали частники. Государство ровным счётом ничего не делало. Чиновники пришли на всё готовое и отжали рынок Интернета.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:02 
Посмотрим, что это анб скажет на gccrs.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:48 
Вечно отстающая реализация языка, где требовать вчерашнюю ночнушку в продакшен норма.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:07 
В ядре самый свежий Rust не нужен.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:54 
Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 14:45 
Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:09 
Я тебя сейчас удивлю, готовься, набери воздуха в грудь. Все языки требуют предельной внимательности.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 15:44 
Очевидно, что не все. Языки с автоматическим управлением памятью не требуют предельной внимательности именно в этой части - за GC/RAII/счётчики ссылок значительную долю рутины берёт на себя рантайм или стандартные абстракции.

Из-за этого снижается когнитивная нагрузка, меньше нужно держать в голове жизненные циклы объектов, владение, корректность освобождения, риск use-after-free и double free. Высвобождённые ресурсы разработчик может направить на архитектуру, корректность бизнес-логики, тестирование, производительность на уровне алгоритмов итд

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Буратино , 29-Дек-25 00:52 
Ну так чем дружелюбнее язык, тем больше м@к@к в него придёт.
"Волшебных таблеток от всего" и "царского пути в математике" не бывает.

Язык примитивный и слабовыразительный - будут выходить за буфера и разыменовывать нули.
Язык высокоуровневый и выразительный - будут путаться в своих <s>мудях</s> абстракциях.
Примером те эпические дыры в десериализации Java и PHP, когда из снаружи пришедшего жсона десериализовывались объекты с разного рода активностями.
И тоже - эта хрень висела чёрти сколько незамеченной.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Прохожий , 29-Дек-25 01:34 
>Язык примитивный и слабовыразительный - будут выходить за буфера и разыменовывать нули.

И каждый раз с нуля изобретать свои собственные абстракции, чтобы потом в них путаться.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 29-Дек-25 17:12 
> "Волшебных таблеток от всего" и "царского пути в математике" не бывает.

От всего не нужно, требуется разумный компромисс.  

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 21:01 
>Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си?

Именно поэтому сейчас де-факто не сишниеи и не растоаики, а питонисты вайтишники пишут и бекэнд и фронтенд на питоне и все счастливы.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено _ , 31-Дек-25 04:10 
Крипту на пейтоне?! 8-о
МЪсьё знaет толк вЪ ... ;-)
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:41 
Можно… но нужно ли? Так-то _можно_ и на ассемблере писать.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено онанист , 28-Дек-25 15:49 
невозможно на си писать не выщывая проблем.

надо быть тока повнимательнее

зороший качественный

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:46 
А?
Что?
Не слышно!
Повторите, ничего не понятно!
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:03 
Перепишут на Algol68.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:04 
Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:06 
Сложно — не значит не возможно. Все эти ошибки можно было бы отловить фаззингом. А часть — и статическим анализом. Но проект слишком стар, во время его появления таким не занимались. Почему до сих пор этого не сделали — большой вопрос, однако.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:39 
Просто на сях надо писать так, чтоб это был безопасный код - оборачивать почти все опасные и потенциально опасные операции структурами и функциями, которые будут гарантировать правильность данных. Но это муторно и некрасиво выходит, что в тех же крестах может скрыто в методах и прочих оверрайдах(если сделано).
Т.е. вместо простых:
struct T* a = malloc(...);
надо делать
struct T* a = new_T(...);
который будет и malloc/calloc, и проверку на выделение, и инициализацию. В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов, но такое даже в крестах ленятся делать. Итерации по указателям тупо делают p++, а не через спец функцию/метод next_, доступ к поинтеру тоже через функцию, доступ к элементу массива, тоже через функцию + не тупо malloc, а спец структура с ворохом функций, которые будут гарантировать выделение, размер и доступ. Да, это всё будет в результате жрать ресурсы, и программа будет работать +/- также медленно как и на всяких "безопасных" языках, но зато такой код будет сложно сломать логически ошибившись. А простой и прямой доступ оставлять только там где нужна явная производительность, и достаточно легко отследить что всё будет хорошо.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 21:00 
Ну и на фига это делать на C тогда?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 21:04 
> В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов

И название обновить. В честь острова там какого-нибудь или количество плюсов диезом обыграть.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:47 
Потому что само оно не делается, и делать это некому.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:20 
> не отвечает требованиям современных вызовов

Неправильно, в Си отсутствует наличие соответствия нормам концептуальных требований современных вызовов дорожной карты устойчивого развития.

А так-то да, если бы он постепенно превращался в D, ничего бы не было (а не "добавим VLA, уберём VLA; добавим Annex K, забудем Annex K; ой всё, мы уже целых 2 раза пытались язык улучшать, ни вышла").

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено penetrator , 28-Дек-25 18:21 
учитывая культуру производства, там все равно какой язык, грабли - гарантированы, и чуть большая сложность си не так уж важна
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:07 
Но даже в системных языках надо сложность убирать под ковёр, чтобы без ошибок большие проекты писать.

Отсюда деструкторы в Rust. Массивы, которые не забывают свой размер (= толстые указатели = слайсы, которые были в D и распиарились в Go).

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 20:41 
Согласен, поэтому нужно срочно всё переписать на (blazing fast🚀) JavaScript
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:37 
Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:39 
Просто назови автора коммита. Выйди из комнаты и соверши ошибку.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:49 
Так просто все. Иди на гит этого проекта и посмотри кто писал, кто одобрил. Все открыто же
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:08 
Вот видишь у тебя а голове стоит блок на мыслепреступление. Ты не имеешь права сомневаться в большом брате.  
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено анонимно2 , 28-Дек-25 14:14 
Какой блок, если подробностей нет то и не известно где в коде проблемы. Будут опубликованы исправления можно будет смотреть чьи ошибки.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:20 
Отмазы для бедных. Просто никому невыгодно раскрывать крота. И нельзя чтобы пролы начинали задавать вопросы.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Смузихлеб забывший пароль , 28-Дек-25 19:31 
Дык ведь палились уже "исследователи" с какого-то универа, которые целенаправленно в код опенсорсных проектов добавляли неявные дыры в рамках своих "экспериментов"

Только те это делали слишком палевно и неумело - вот и попались. И то, далеко не сразу

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:10 
А чего ты от других этого требуешь? Сам и назови, раз утверждаешь, что это один человек. И коммиты указать не забудь. Опровергать твои домыслы никто не обязан, бремя доказательства лежит на обвиняющем.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:57 
>залатность

Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:44 
>серьёзные люди его попросили чуть-чуть ошибиться

Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено 12yoexpert , 28-Дек-25 15:25 
ты реально думаешь, что вяленый, пулса, раст, телеграм, gimp и cloudflare, - это всё дурость, а не целенаправленный саботаж?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 15:49 
> это всё дурость, а не целенаправленный саботаж

Можешь это доказать?

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено timur.davletshin , 28-Дек-25 14:52 
У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:11 
Одни и те же люди, с самого создания софта. Коммит, который сделал двойной инкремент, запатчил сам же автор, который эту ошибку допустил ещё в 1999 году:
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=commi...

Мб это дело всё же стоит форкнуть и переписать с нормальными стилем кода и названиями переменных.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено timur.davletshin , 29-Дек-25 07:44 
> Одни и те же люди, с самого создания софта.

Молодец, ты понял мой тезис. Теперь возьми с полки печеньку.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 11:25 
Это надо не форкать, это надо закопать, да поглубже. Желательно - вместе с авторами. Более какашечный софт, чем гнупг, трудно придумать.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:15 
А какие у вас будут доказательства что человек специально написал уязвимости?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 15:24 
Э... т.е человек чисто случайно не приходя в сознание написал код?
Который чисто случайно оказался овнокодищем?
И совершенно случайно и совсем не специально привел к уязвимости?
Звучит логично!
Особенно для #define MAX_LINELEN 20000
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:43 
То есть Jia Tan не виноват, а хакеров выдумали массоны?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:50 
/s Ну очевидно же что это ложный китайский след чтобы очернить некорпоративных разработчиков
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:30 
Раз ложный след значит просто ошибка? Понять и простить?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 11:46 
Ни один "масон" с такими "хакерами" дел иметь не будет. Нормальные "масоны" таких "хакеров" крюком за два квартала обходят.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:14 
Дай угадаю: в твоём коде никогда не бывает ошибок, потому что ты за свою жизнь не написал ни строчки кода, достойной того, чтобы кто-то стал искать в нём ошибки?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:15 
Это остатки кода из 1999 года, когда в коммитах ещё встречаются рофлы вида

-#if 0
+#if 1

Так что да, там большая часть кода - это старый хлам, который рефакторнуть забыли, иначе всё сломают. Проекту больше программистов нужно, но коммитов кот наплакал, хотя очевидно заинтересованные в софте хакеры и пользователи существуют в огромном количестве.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Смузихлеб забывший пароль , 28-Дек-25 19:38 
Итак, вызывают руководителя конторы хмурые дядьки, имеющие дело с "нац. безопасностью сша" и спрашивают его - "Вот у нас тут несколько типов подозрительных ведут какие-то дела посредством вашего ПО всё это шифруют. Каким образом мы можем выяснить что там происходит ? Вы ведь не совсем идиот, чтобы предоставлять преступникам/террористам полностью защищённую от служб безопасности систему, лишённую каких-либо лазеек ? Или вы их, по сути, поддерживаете, предоставляя ПО, позволяющее обходить системы безопасности"

Западные конторы западным же спец. службам и не так ж*пы подставляют без лишнего шума и вопросов, причём, регулярно и, порой, даже без требования - в "рамках жеста доброй воли" так сказать. Ну а другие - долго там не работают

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 10:45 
Я не разглядывал все эти баги внимательно, но те что я разглядывал из той поры, когда серьёзные люди не считали gpg достаточно серьёзным, чтобы обращать на него внимание. Сегодня, может быть, серьёзные люди обращают на него внимание (хотя опять же зачем? как часто эту хрень используют те, кто против серьёзных людей выступает?), но не в те пархатые времена, когда gnupg начинался.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 20:54 
Рептилоиды с планеты Нибиру сначала внушили разработчикам придумать несовершенный язык СИ, чтобы писать на нём код с уязвимостями чтобы потом навязывать замену ему Rust и только анонимные эксперты с опеннет раскрыли коварный заговор.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:33 
"Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"),"
И
"Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:32 
если что деды тесты не пишут
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:27 
Код с этой ошибкой прямиком из 1999 года, там ещё переключения через '-#if 0' '+#if 1' в коммитах попадаются вместо выпиливания неработающего кода. Если бы в GNU было полегче присылать коммиты, может быть у них было бы меньше таких идиотских ошибок. А так вся надежда на то, что оригинальный автор пропатчит код, а то вдруг кусок функции которая буквы читает принадлежит кому-то ещё и не оригинальный лол.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 14:23 
А где посмотреть какие именно версии gnupg подвержены этим уязвимости?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:03 
> в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла

О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 14:09 
Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?
Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!"
Правдо в подобных проектах обычно warning'и выключают.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:16 
Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Прохожий , 29-Дек-25 01:45 
Языков с итераторами нет? Да вы тот ещё эксперд.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Васян , 30-Дек-25 23:51 
-- - - - -  Но есть нейросеть, чтобы ...

Та, которая на тех же языках писана-компилина? .......

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:48 
> Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?

А у скрипача должна быть скрипка, не позволяющая плохо играть?))

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 14:56 
Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:05 
Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено RM , 28-Дек-25 17:06 
> Но и оставшийся процент сможет нафакапить?
> Therac-25 передает привет)

справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

> Я уже молчу про менее смертельные, но неприятные ошибки, типа 1к пострадавших почтальонов (включая тюремные сроки) у Бриташек, которым [зря тут был эпитет] из Fujitsu написали овнокод.

я так понял там честь красного мундира дефектифные манагеры до последнего защищали

из свежего - пишут 7 не пережили ошибки https://sfconservancy.org/blog/2025/dec/23/seven-abbott-free.../
там статья в очень своеобразном стиле, но похоже датчик нормальный, а вот прилАжение на мабилу навайбыкодили

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 22:40 
>> Но и оставшийся процент сможет нафакапить?
> справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

Вот да.
Не нафакапить кмк может только тот, кто ничего не делает.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:07 
Может. Запорит концерт. Особенно если много раз сфальшивит. Потеряет репутацию свою и оркестра и никто не пригласит из на настроили и не даст денег и оркестр будет есть сухари. И да скрипач может быть засланным казачком из другого оркестра.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Анонимусс , 28-Дек-25 15:25 
> А у скрипача должна быть скрипка, не позволяющая плохо играть?))

У скрипача должна быть скрипка, а не табуретка к которой прифигачили несколько кусков медного провода.
Так и тут - у разработчика должен быть инструмент, а не древнее овно мамонта.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:44 
> а не древнее овно мамонта

Т.е. скрипка, которая не претерпела изменений со времён средневековья, по-твоему «овно мамонта». Ок, понял.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Анонимусс , 28-Дек-25 16:56 
> одно из самых ранних изображений скрипки (трёхструнной, по форме далёкой от классической)
> в итальянской живописи — картина Гауденцио Феррари «Мадонна апельсиновых деревьев» (1529)

Это уже не средние века, а Позднее Возрождение. Так что мимо.
Но сишечка это даже не проскрипка. Это какая-то палка-копалка.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:07 
> Это какая-то палка-копалка

Ну конечно, рассказывай…)

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Прохожий , 29-Дек-25 01:52 
У скрипача как минимум должна быть скрипка, которая правильно настроена. В идеале и звучать должна хорошо.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:17 
> в нормальном языке

Язык нормальный, просто плохому танцору вечно что-то мешает… И данный CVE это наглядно демонстрирует - язык тут вообще не при чём. Если уж компилятор должен такой «детский сад, штаны на лямках» фиксить, то это будет компилятор для дебилов.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:34 
То есть в продовом проекте который стоит на 90% серверов в мире детская "случайная" ошибка. Веры в это ровно нуль.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Прохожий , 29-Дек-25 01:55 
>Язык нормальный, просто плохому танцору вечно что-то мешает

И так со всеми сколь-либо сложными проектами на этом языке. Постоянно танцоры плохие попадаются, просто проклятье какое-то. Может, пора что-то в консерватории менять? (c)

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 10:25 
Doom - сложный проект на «этом языке», что там не так?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Пыщь , 30-Дек-25 13:17 
Вот в ada цикл for строгий. Вопросительно насколько это удобно при алгоритмических оптимизациях, зато так лупить лопатой по пальцам ног не даёт.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:19 
Зачем так делать — понятно: надо перебирать символы, переменное число которых кодирует один байт. Но забывать про проверку на выход за границы при этом, конечно, нельзя.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:23 
Всё-равно никогда не надо изменять переменную одновременно в объявлении и в теле цикла, это бред.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:47 
А какая разница? Оба способа равноценны.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Проходил мимо , 30-Дек-25 08:09 
Практика показывает, что использование конструкций вида buf[idx++], которые ухудшают читаемость кода, заканчивается такими вот косяками.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Проходил мимо , 30-Дек-25 07:57 
При определенных условиях (не как в обсуждаемой программе) это не бред. Надо просто код писать правильно (с проверкой выхода за границы буфера), тогда это безопасно и эффективно.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:30 
Открой коммит и посмотри на этот код. Там буквально две строчки, мапящие буквы из одного буфера в другой, и он там лежал с 1999 года. Просто никто код не рефакторил, а точнее не имел возможности рефакторнуть не форкая проект, потому что в GNU свои патчи хрен отправишь.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 14:11 
Ну это ты конечно это ты очень оптимистично предположил. Почему ты не думаешь что он специально сделан именно так и всем это известно.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 10:37 
> О Боже, это же классика индусского кода, зачем так делать…

Ты никогда не найдёшь ответ на этот вопрос, потому что он неправильно поставлен. Спрашивать надо не "зачем", а "почему". Почему там так написано? На этот вопрос есть очень простой ответ: кто-то написал цикл while, а потом решил отрефакторить его в for. И если ты глянешь в код, ты найдёшь там подтверждения этой гипотезы. Вместо того, чтобы сделать memcpy а следом за ним что-то типа iobuf_read, там n инициализируется нулём единожды, а потом пробегает по всем байтам, через два цикла. Поэтому for'ы не инициализируют n, и очень вероятно что это исходно было написано на while'ах, а потом кому-то пришла в голову мысль, что for будет уместнее.

Можно предположить и более конкретный сценарий, автор сего кода написал первый цикл while'ом, а второй цикл из него вышел for'ом, и ему пришло в голову, что и из первого цикла можно сделать for, для единообразия.

Как бы там не было, при замене while на for не удалось заменить всё правильно.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:14 
И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:20 
Вы пострадали от
> И это не просто ошибка в калькуляторе

?

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:21 
Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:36 
Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:46 
Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:04 
Как говорится не дайте себя обмануть в другом месте.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:05 
Я имею в ввиду его нытьё по поводу недостаточного признания, вечные попытки уничижать гпл, и болтология на тему прямолинейности Столлмана. Всё это позволяет составить достаточно целостную картину.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:21 
> Все мы помним

All generalizations are false.
Просвети.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:39 
У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:37 
1. там в анонсе ещё секвоя была заявлена:

>When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*.

2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/...

Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:02 
(2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:24 
Мне.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 00:38 
И мне тоже.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 10:42 
> (2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?

У тебя противоречие заложено. Если полтора желающих поиграться с бирюлькой, то бирюлька не модная.

И я присоединюсь к анонимам выше. Я с огромным интересом загляну внутрь. На расте под голое железо писать очень интересно, гораздо интереснее чем на C или asm, и микроос которую я (согласно тем маркетинговым материалам) могу полностью аудитить самостоятельно выглядит очень вкусно.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 29-Дек-25 11:59 
Нет там противоречия. Есть отдельные модники, которые готовы тащить в рот всё, что заблестело, даже если это осколок от бутылки. Потом подрастают, набивают шишек - перестают.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 17:33 
>  Нет там противоречия.

Ты когда в последний раз открывал толковый словарь на словах "мода" и "модный"?

> Есть отдельные модники

О, не надо так выворачиваться, со мной такие трюки не проходят. Твоё исходное утверждение о "модной бирюльке", но когда выяснилось что ты совершил катастрофический ляп, ты вдруг переключился и начал говорить о "модниках", пытаясь нащупать какое-то семантически близкое утверждение, которое не будет самопротиворечивым.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:41 
>Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера

Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:43 
>обрезка данных по границе 20000 символов при вычислении хэша

Закладки так не делают. Такое можно сделать только по исключительной тупости.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:50 
Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:30 
>Закладки именно так делают.

Почитай разбор про выбор параметров таблиц замен в алгоритмах Стрибог и Кузнечик. Лучшие мировые криптоаналитики бились, но *доказать* неслучайность так и не смогли. В итоге предали анафеме исключительно на основе «highly likely» (часовню тоже я)

Вот как делают закладки.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 01:17 
С чего ты взял, что бились над этими никому не нужными (для практического использования) криптосистемами? Тут же принцип "у меня в рукаве ничего нет", когда он не соблюдается - это повод просто выкинуть даже не разбираясь.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:02 
Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:19 
Какие доказательства есть что это закладка а не человеческая ошибка?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено localhostadmin , 28-Дек-25 14:44 
Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 15:15 
Как можно не понимать такие простые вещи??
systemd делалось по заказу корпораций для угнетения админов,
а gpg пишут мальчики-зайчики из проекта ГНУ!
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:41 
Кто финансирует зайчиков? Кто у них тимлид, начальник, к т отдаёт им приказы, кто контролирует? Кто контролирует тех кто контролирует?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено онанист , 28-Дек-25 15:51 
никто
базар же
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:06 
А я думал сова. Или китайцы или американцы или северные корейцы. Или все вместе взятые, но разных разрабов.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 16:53 
Так никто не контролирует.
Просто собрались васяны, устроили базар, пишут как могут и когда могут.
Никакой ответственности.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:38 
То есть ты не думаешь что в этот базар волосатая рука рынка может занести за любое нужное ей изменение и дополнение в коде?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:34 
Подкину тебе ещё один повод для паранойи: а не является ли целью сей акции повсеместное пропихивание sequoia вместо gpg?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено localhostadmin , 28-Дек-25 17:17 
Лично я просто стараюсь избегать использования pgp вцелом
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:36 
Лучше вообще криптографию избегать. Тогда точно не взломают.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено localhostadmin , 29-Дек-25 01:02 
Раскрою тебе секрет, пгп это не единственный способ шифровать и подписывать файлы
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 18:05 
Но в других способах тоже могут быть уязвимости!!!11
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:01 
Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 07:45 
Просто прокатило и всё.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 11:50 
20000 должно было хватить всем.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:31 
Во-первых, на сайте я вижу 14 пунктов а не 12. Во-вторых, вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"
: https://openwall.com/lists/oss-security/2025/12/28/5
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 21:55 
Всё правильно, 12 в GnuPG и 2 в minisign.

> вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"

Перечитал три раза, не нашёл таких слов. Там написано буквально: это давно известная проблема, для обхода которой при автоматическом разборе есть опция.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено robot228 , 28-Дек-25 16:12 
Что вместо GnuPG использовать? Секвою какую-то рекомендовали кажись?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено morphe , 28-Дек-25 21:25 
Sequoia не имеет каких-то алгоритмов, но в целом полностью заменяет gpg.

При этом набор алгоритмов там значительно меняется просто при смене бекенда, их там несколько, например nettle (привязка к смешной библиотеке) и rust-crypto (криптография через Rust библиотеки). Одновременно оба использовать нельзя.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 22:27 
В расте всегда можно словить малварь на уровне llvm. И ты его никогда не вычислишь.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено morphe , 28-Дек-25 23:28 
> В расте всегда можно словить малварь на уровне llvm. И ты его
> никогда не вычислишь.

Т.е теоретическая малварь в опенсорс компиляторе, при том что даже PoC подобной штуки (компилятор внедряющий закладку в компилируемый код) очень сложно делается, для тебя страшнее чем реально существующие уязвимости что встречаются каждый день, которые позволяют вытаскивать из процесса произвольные данные, и которые невозможно поймать до начала их активной эксплуатации всеми подряд?

Чтож, поздравляю, клоун. Скажи ещё каким это боком gcc более безопасный чем llvm.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 10:46 
Типа есть два ведра с дырой у нужно оценить форму дыры?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 14:10 
А в сишке всегда можно словить малварь на уровне gcc. Дальше что?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 20:57 
> А в сишке всегда можно словить малварь на уровне gcc

Конечно же не сможете.
GCC же пишут самые надежные погромисты из проекта GNU, а не всякие майкрософты с эплами!
Неужели вы думаете, что можно усомниться в качестве софта с префиксом GNU?!

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 11:37 
S/MIME использовать можно. Поддерживается многими клиентами.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Скотобаза , 28-Дек-25 17:24 
Тут буквально каждая дыра выглядит как полноценный бэкдор. И только одна чисто сишная и то сделанная дебилами.

А то что дыры есть везде это прямо ололо. Сколько линуксов уже протроянили црушники

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:39 
> Тут буквально каждая дыра выглядит как полноценный бэкдор. И только одна чисто
> сишная и то сделанная дебилами.
> А то что дыры есть везде это прямо ололо. Сколько линуксов уже
> протроянили црушники

Да раз дыры везде можно их и не контролировать. Они же везде.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Котик Биба , 28-Дек-25 22:14 
> Ошибка ... приводящая к записи в область памяти вне границы буфера. Проблема может привести к выполнению кода

Эх, вот бы был язык, который не давал выходить за границы буферов)))

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 22:26 
И чтобы произошло? Он бы жрал как не в себя чтобы на каждый чих проверять весь мир?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено localhostadmin , 29-Дек-25 01:06 
Согласен, всем пора переходить на питон
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Котик Биба , 29-Дек-25 07:59 
Как вариант!
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено 12yoexpert , 29-Дек-25 02:22 
в плюсах есть безопасная работа с памятью/массивами, больше вроде нигде нет
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 10:48 
Нету. Ошибки выхода за границы в C++ распространены не меньше, чем в C. С++ создаёт видимость безопасности, но его operator[] не проверяет на выход за границы массива, на самом деле. Тебе надо отказаться от [] для индексирования, и вызывать какие-то методы, чтобы получить проверки. Этого, естественно, _никто_ не делает, потому что читаемость кода важнее. И я с ними соглашусь.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено 12yoexpert , 29-Дек-25 11:47 
> Нету

есть

> Ошибки выхода за границы в C++ распространены не меньше, чем в C

как это связано с тем, что я написал?

дальше не читал, у тебя явно какие-то когнитивные проблемы: сам себе что-то сочинил - сам себе ответил

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 18:05 
> operator[] не проверяет на выход за границы массива

Проверку умел делать даже паскаль ещё задолго до с++.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 31-Дек-25 15:57 
>его operator[] не проверяет на выход за границы массива, на самом деле.

На самом деле проверяет.
Примитивные типы, унаследованные от С не в счёт.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 23:17 
И какой вывод из этого? 🤔
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 10:47 
Вывод что теперь то уж тооооочно безопасно 146% пользуйтесь везде где можно. Опасности нет всё под контролем, расходимся тут не на что смотреть. Не задавайте лишних вопросов и не устраивает панику.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 29-Дек-25 10:58 
Вывод?
Возможно, что GnuPG просто овно.
Которое писали ногами и ошибки там живут с 1991 года.

Причем исправляет их сам автор - или ему пофиг на качество, или он уже десятки лет работает бекдорщиком.
Что из этого лучше решай сам))

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 29-Дек-25 18:02 
Как говорит один иноагент, выводы делайте сами.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено svpcom , 28-Дек-25 23:59 
Имхо этот gnupg это переусложненное говно, как и собственно сам формат контейнера PGP, основанный на ASN.1