forum.opennet.ru

"Уязвимость в LibKSBA, приводящая к выполнению кода при обработке S/MIME в GnuPG"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

"Уязвимость в LibKSBA, приводящая к выполнению кода при обработке S/MIME в GnuPG"	+/–
Сообщение от opennews (??), 17-Окт-22, 21:22
В библиотеке LibKSBA, развиваемой проектом GnuPG и предоставляющей функции для работы с сертификатами X.509, выявлена критическая уязвимость (CVE-2022-3515), приводящая к целочисленному переполнению и записи произвольных данных за пределы выделенного буфера при разборе структур ASN.1, используемых в S/MIME, X.509 и CMS. Проблема усугубляется тем, что библиотека Libksba используется в пакете GnuPG и уязвимость может привести к удалённому выполнению кода атакующего при обработке в GnuPG (gpgsm) зашифрованных или подписанных данных из файлов или почтовых сообщений, использующих S/MIME. В простейшем случае для атаки на жертву, использующую почтовый клиент с поддержкой GnuPG и S/MIME, достаточно отправить специально оформленное письмо... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57928
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в LibKSBA, приводящая к выполнению кода при обработке S/MIME в GnuPG, opennews, 17-Окт-22, 21:22 [смотреть все]

Да тут и комментировать нечего - всё как обычно , Аноним, 17-Окт-22, 21:22 (1) //
- Rust спец олимпиада , хрю, 17-Окт-22, 21:30 (2) //
  - Какой раст Оно на чистой сишке написано , Аноним, 17-Окт-22, 21:36 (4) //
    - Нужно переписать на rust , Аноним, 17-Окт-22, 21:48 (7)
      - перепишут, там будет блок unsafe и то же самое , Аноним, 17-Окт-22, 22:40 (13)
        
        Во всем софте, написанном на Расте без unsafe -- драйвере GPIO, нет ни одной уяз, Без аргументов, 18-Окт-22, 00:37 (30)
        
        А если к GPIO подключен томограф, мощность которого зависит от передаваемого зна, Аноним, 18-Окт-22, 01:37 (39)
        
        Я, который любитель в железе, никогда не подключу медоборудование к скрипту на п, Без аргументов, 18-Окт-22, 12:23 (56)
        
        Therac-25, Аноним, 18-Окт-22, 16:59 (60)
        
        Оно на ассемблере было JS-ники и растоводы хвалятся тем, что можно меньше думат, Без аргументов, 18-Окт-22, 18:34 (61)
        
        Как ты быстро дошел от никогда не подключу медоборудование к расту до алгорит, Аноним, 18-Окт-22, 19:01 (64)
        
        Одна и та же переменная применялась как для анализа введённых чисел, так и для , Без аргументов, 18-Окт-22, 18:41 (62)
        
        Угу, а вот если бы при делении на ноль программа контролируемо аварийно завершал, Аноним, 18-Окт-22, 19:39 (65)
        Ну т е сишечка всё равно лапочка, даже если говнокод на ней часть стандарта , Annoynimus, 20-Окт-22, 07:00 (69)
        
        Кроме этих явных ошибок, было замечено множество потенциальных 8212 например, Без аргументов, 18-Окт-22, 18:44 (63)
        
        Громкое заявление, да Предлагаете поверить вам на слово , Аноним, 18-Окт-22, 01:39 (41)
      - Уже переписали, но не хотят-с пользоваться , Аноним, 18-Окт-22, 08:21 (52)
    - Ну ты же понимаешь, что уязвимости в сишных программах являются результатом диве, Аноним, 17-Окт-22, 23:08 (18)
      - Что в расте уязвимости, что в си Только раст сильно подконтролен гуглу и мелком, Аноним, 18-Окт-22, 00:25 (26)
        
        Какие проблемы огребают писатели или пользователи Java, C , Golang, Swift Obj, Аноним, 20-Окт-22, 19:23 (70)
- кто б сомневался, что это троянский конь , Аноним, 17-Окт-22, 22:41 (14)
- Да, вторая уязвимость за неделю в одном из 20000 пакетов Федоры То-то будет 0 у, Без аргументов, 18-Окт-22, 00:29 (28)
Ахаха, RCE при получении письма Какая прелесть Бедняги опять не разобрались с , Аноним, 17-Окт-22, 21:33 (3) //
- Не бжи,, Аноним, 17-Окт-22, 22:29 (11) //
  - Не бжи,, Анонн, 17-Окт-22, 22:31 (12) //
    - 1 6 2 в сизифе вторую неделю прохлаждается http packages altlinux org libksba, Michael Shigorin, 18-Окт-22, 00:37 (29)
      - В раче здесь причислен к дистрибутивам без обновления, почему-то обновление вы, Встрял, 18-Окт-22, 08:11 (50)
        
        А если выйти из мамкиной комнаты с гигабитным инетом, скажем, в режимное предпри, Без аргументов, 18-Окт-22, 12:28 (57)
      - Повод радоваться был бы, если бы у вас такой дыры не было , Аноним, 18-Окт-22, 10:11 (53)
      - Сори, речь шла о дистрибутивах, а не о васяноподелиях , Аноним, 18-Окт-22, 10:32 (54)
        
        Речь шла о пользователях, которым это нужно, а не посмотреть анимэ про геев, Без аргументов, 18-Окт-22, 12:29 (58)
И эти люди гнали на Столлмана , Аноним, 17-Окт-22, 21:39 (5)
Очередное подтверждение тому, что никакие специализированные средства для защи, Аноним, 17-Окт-22, 22:26 (10) //
- Тот случай, когда переписка без защиты безопасней переписки с защитой , Аноним, 17-Окт-22, 22:42 (15)
- Удачи с совместимостью А про уязвимости в вашей личной неочевидно настроеной кр, Аноним, 17-Окт-22, 23:02 (16) //
  - Ты даже не понимаешь, о чём речь Хинто 1 серьёзные письма отправляются в нов, Аноним, 17-Окт-22, 23:06 (17)
Подскажите, а на каких архитектурах есть отличие от обычной ia32 64, arm 32 64 , navdotru, 17-Окт-22, 23:09 (19) //
- Отличие от обычной - это saturation Много где есть , Аноним, 17-Окт-22, 23:18 (20) //
  - Да, но на иа32 это отдельные команды padd скажем в расширении ммх а компилятор, navdotru, 17-Окт-22, 23:26 (21)
- Вообще-то у x86 уже есть OF флаг Overflow Flag , есть команды перехода jo jno , Аноним, 17-Окт-22, 23:28 (22) //
  - Я именно про то Обычное поведение в а в с это одна команда процессора, сложен, navdotru, 17-Окт-22, 23:48 (23) //
    - Что именно ты хочешь от неё , Аноним, 18-Окт-22, 01:09 (33)
      - Уточню - есть целочисленное сложение Скажем i32 i32 Результат его во всех мне , navdotru, 18-Окт-22, 01:22 (35)
        
        Формально - такие существуют В risc-v нет флага переноса, равно как и остальных, Аноним, 18-Окт-22, 01:30 (36)
        Наверно, так и не добьёмся от тебя, что же ты хочешь Опиши поведение - подска, Аноним, 18-Окт-22, 01:34 (37)
        Компилятор можно пофиксить, и он будет компилировать в imul Ты об этом , Аноним, 18-Окт-22, 05:18 (47)
    - P S Например, x87 может кидать исключения при переполнении потере точности , Аноним, 18-Окт-22, 01:12 (34)
  - Гцц весьма активно использует даже на О1 для оптимизации простых ифов, navdotru, 17-Окт-22, 23:58 (24)
- Как вариант, гляньте http ftp altlinux org pub people mike elbrus docs elbrus_, Michael Shigorin, 18-Окт-22, 00:42 (31) //
  - Не могу быстро ответить, надо прочитать Опыта с эльбрусом у меня по понятным пр, navdotru, 18-Окт-22, 00:56 (32)
Опять эти недопрограммисты повылазили На этот раз они плохо пишут реализации кр, Аноним, 18-Окт-22, 01:35 (38)
Сначала курсы полугодовые позаканчивают, сертификатики получат, а потом садяться, Аноним, 18-Окт-22, 06:26 (48) //
- Какая мотивация - таков и результат , Без аргументов, 18-Окт-22, 12:31 (59)
Как клева бэкдор встроили , Аноним, 18-Окт-22, 07:44 (49)
Давно пора на sequoia перейти, которая на rust написана , Аноним, 18-Окт-22, 08:20 (51)
Нестрашная уязвимость, потому что S MIME не пользуется вообще никто , Аноним, 19-Окт-22, 10:00 (66) //
- При этом никто не мешает прислать тебе сообщение с S MIME, даже если ты им не по, Аноним, 19-Окт-22, 10:17 (67) //
  - От передаста слышу Смиме сначало включить надо, ключи какие-то куда-то добавить, Аноним, 19-Окт-22, 18:10 (68)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру