Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "	+/–
Сообщение от opennews (?), 28-Дек-25, 13:21
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP  и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке  шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64517
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. Скрыто модератором	–3 +/–
Сообщение от Grand (?), 28-Дек-25, 13:21
RUST приди, порядок наведи !
Ответить | Правка | Наверх | Cообщить модератору

	45. Скрыто модератором	+/–
	Сообщение от Аноним (45), 28-Дек-25, 14:48
	> RUST приди, порядок наведи ! Ему некогда. Там срочно проверяют код во всех обвязках, которые написали, после недавней CVE.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+1 +/–
Сообщение от Аноним (2), 28-Дек-25, 13:25
>Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены. Еще не все, кто надо, воспользовались :)
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+3 +/–
	Сообщение от Аноним (5), 28-Дек-25, 13:29
	Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
	Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+2 +/–
Сообщение от Аноним (5), 28-Дек-25, 13:28
Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	–1 +/–
	Сообщение от Бжежко (ok), 28-Дек-25, 13:36
	Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+5 +/–
	Сообщение от Аноним (5), 28-Дек-25, 13:38
	Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+1 +/–
	Сообщение от Аноним (38), 28-Дек-25, 14:39
	>Анб навязывает Раст У DARPA получилось "навязать" Интернет всему миру.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (56), 28-Дек-25, 15:06
	Вместо mesh-сетей, у которых нет рубильника.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	–3 +/–
	Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:54
	Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	42. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Бжежко (ok), 28-Дек-25, 14:45
	Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (23), 28-Дек-25, 14:03
	Перепишут на Algol68.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	52. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Tron is Whistling (?), 28-Дек-25, 15:04
	Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	9. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:37
	Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	11. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (5), 28-Дек-25, 13:39
	Просто назови автора коммита. Выйди из комнаты и соверши ошибку.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+1 +/–
	Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:49
	Так просто все. Иди на гит этого проекта и посмотри кто писал, кто одобрил. Все открыто же
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (5), 28-Дек-25, 14:08
	Вот видишь у тебя а голове стоит блок на мыслепреступление. Ты не имеешь права сомневаться в большом брате.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от анонимно2 (?), 28-Дек-25, 14:14
	Какой блок, если подробностей нет то и не известно где в коде проблемы. Будут опубликованы исправления можно будет смотреть чьи ошибки.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (5), 28-Дек-25, 14:20
	Отмазы для бедных. Просто никому невыгодно раскрывать крота. И нельзя чтобы пролы начинали задавать вопросы.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (18), 28-Дек-25, 13:57
	>залатность Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	12. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (38), 28-Дек-25, 13:44
	>серьёзные люди его попросили чуть-чуть ошибиться Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	27. Скрыто модератором	+/–
	Сообщение от Аноним (5), 28-Дек-25, 14:09
	Это тебе по телевизору сказали? Откуда ты взял это число?
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от timur.davletshin (ok), 28-Дек-25, 14:52
	У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:33
"Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE")," И "Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	–1 +/–
Сообщение от Аноним (22), 28-Дек-25, 14:03
> в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..
Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+1 +/–
	Сообщение от Фнон (-), 28-Дек-25, 14:09
	Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить? Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!" Правдо в подобных проектах обычно warning'и выключают.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (5), 28-Дек-25, 14:16
	Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (44), 28-Дек-25, 14:48
	> Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить? А у скрипача должна быть скрипка, не позволяющая плохо играть?))
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	48. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Бжежко (ok), 28-Дек-25, 14:56
	Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Tron is Whistling (?), 28-Дек-25, 15:05
	Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
	Ответить | Правка | Наверх | Cообщить модератору

	57. Скрыто модератором	+/–
	Сообщение от Аноним (5), 28-Дек-25, 15:07
	Может. Запорит концерт. Особенно если много раз сфальшивит. Потеряет репутацию свою и оркестра и никто не пригласит из на настроили и не даст денег и оркестр будет есть сухари. И да скрипач может быть засланным казачком из другого оркестра.
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

25. Скрыто модератором	+/–
Сообщение от Аноним (-), 28-Дек-25, 14:07
> 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GNU Privacy Guard И как всегда прекрасное качество от проекта GNU! Они успешно гардят (или гадять), ой, т.е. бдят за вашей прайваси!
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+3 +/–
Сообщение от Аноним (5), 28-Дек-25, 14:14
И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	–2 +/–
	Сообщение от Аноним (32), 28-Дек-25, 14:20
	Вы пострадали от > И это не просто ошибка в калькуляторе ?
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+2 +/–
	Сообщение от Аноним (5), 28-Дек-25, 14:21
	Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (35), 28-Дек-25, 14:36
	Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	43. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (43), 28-Дек-25, 14:46
	Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (5), 28-Дек-25, 15:04
	Как говорится не дайте себя обмануть в другом месте.
	Ответить | Правка | Наверх | Cообщить модератору

	55. Скрыто модератором	+/–
	Сообщение от Аноним (35), 28-Дек-25, 15:05
	Я имею в ввиду его нытьё по поводу недостаточного признания, вечные попытки уничижать гпл, и болтология на тему прямолинейности Столлмана. Всё это позволяет составить достаточно целостную картину.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

	37. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (23), 28-Дек-25, 14:39
	У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

36. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
Сообщение от Аноним (43), 28-Дек-25, 14:37
1. там в анонсе ещё секвоя была заявлена: >When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*. 2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/... Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.
Ответить | Правка | Наверх | Cообщить модератору

	51. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Tron is Whistling (?), 28-Дек-25, 15:02
	(2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
	Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+1 +/–
Сообщение от Аноним (43), 28-Дек-25, 14:41
>Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+1 +/–
Сообщение от Аноним (38), 28-Дек-25, 14:43
>обрезка данных по границе 20000 символов при вычислении хэша Закладки так не делают. Такое можно сделать только по исключительной тупости.
Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (46), 28-Дек-25, 14:50
	Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
	Сообщение от Аноним (5), 28-Дек-25, 15:02
	Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

41. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	–1 +/–
Сообщение от localhostadmin (ok), 28-Дек-25, 14:44
Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."	+/–
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:01
Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема