The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код

28.12.2025 13:11

На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены.

Уязвимости вызваны ошибками в коде для обработки данных и разбора форматов, и не связаны с брешами в криптоалгоритмах. Например, ошибка в парсере приводит к сбою при определении фактически подписанных данных и создаёт условия при которых проверяемые данные могут не совпадать с подписанными данными, что позволяет атакующему подменить открытый текст без доступа к приватному ключу.

Выявленные проблемы:

  • Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера. Проблема может привести к выполнению кода при обработке в gpg специально оформленных данных. Уязвимость проявляется в функции armor_filter() и вызвана двойным увеличением счётчика "n" в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла при записи данных в буфер "buf[n++]". В итоге за пределы буфера записывается лишний байт, а переменная с размером "ret_len" выставляется в значение, превышающее фактическое.
  • Возможность создания или перезаписи любого файла, насколько позволяют текущее права доступа, из-за некорректной обработки содержимого поля "filename" в пакете с данными. Уязвимость может использоваться для организации выполнения кода в системе при выполнении получателем команд "gpg --decrypt poc.enc" и "gpg poc.enc" для просмотра присланного атакующим файла poc.enc. Добиться выполнения кода можно, например, через создание файлов ~/.bash_completion или ~/.ssh/authorized_keys.
  • Возможность подмены открытого текста, показываемого пользователю при указании опции "--decrypt" и верификации с использованием отдельно поставляемых цифровых подписей (Detached Signature, создаются опцией "--detach-sig" и поставляются в отдельном sig-файле). Суть проблемы в том, что при раздельной отправке сообщения и sig-файла, атакующий, контролирующий промежуточный трафик (MITM), может внести в sig-файл изменения, после которых верификация останется успешной, но при просмоторе сообщения из sig-файла при помощи опции "--decrypt" будет выведено другое содержимое. 
    
  echo Plaintext > plaintext
  gpg --detach-sig plaintext

  # изменение  plaintext.sig атакующим с добавлением дополнительного текста

  gpg --verify plaintext.sig plaintext # верифицировано
  gpg --decrypt plaintext.sig # верифицировано, но выводится другой текст
  • Возможность дополнения подписанного сообщения произвольными данными с сохранением успешной проверки подписи. Проблема возникает из-за обрезки данных по границе 20000 символов при вычислении хэша.
  • Некорректная проверка кодов аутентифицированного шифрования (MDC - Modification Detection Codes), позволяющая манипулировать зашифрованными пакетами так, что при расшифровке полученный контент будет обработан как другой тип пакета (например, воспринят как предназначенный для публикации открытый ключ).
  • Возможность подстановки дополнительных данных в CS-подписи (Cleartext Signature), созданные с использованием флага "--not-dash-escaped" или сконвертированные из отдельно подставляемых подписей (Detached Signature). Уязвимость может использоваться для создания у пользователя ложного впечатления о том, какие данные были фактически подписаны. Например, пользователь может загрузить из заслуживающих доверия источников корректный ключ для проверки цифровой подписи, но атакующий в ходе MITM-атаки может подменить загружаемый пользователем iso-образ и добавить в подпись к образу дополнительный хэш, таким способом, что верификация подменённого образа пройдёт успешно при наличии в системе проверочного корректного ключа.
  • Подстановка дополнительных данных в ASCII-представление CS-подписи (Cleartext Signature) через вставку символа с нулевым кодом. Уязвимость, например, позволяет вставить произвольный текст в заголовок Hash.
  • Некорректная интерпретация формата OpenPGP, из-за которой сообщение "One-Pass Signed Message" в ASCII-кодированном формате может быть обработано как сообщение "Cleartext Signature" при определённом изменении заголовка. Уязвимость позволяет заменить оригинальные подписанные данные на вредоносное содержимое, сохранив видимость успешной верификации.
  • Отсутствие явного разделения в выводе информации об успешности проверки цифровой подписи и содержимого сообщения, что позволяет создавать поддельные неподписанные сообщения, которые при выполнении "gpg --decrypt" выглядят как подлинные.
  • Возможность создания OpenPGP-сообщений, которые в gpg будут обрабатываться иначе, чем в других реализациях OpenPGP. Проблема вызвана особенностью обработки очень длинных строк в ASCII-представлени OpenPGP-данных.
  • Создание условий в процессе верификации цифровой подписи для отката алгоритма проверки хэша до небезопасного SHA1.
  • Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа. Атака осуществляется через добавление фальшивого хранилища ключей при помощи опции "--keyring".

Дополнительно выявлены две уязвимости в minisign, упрощённом инструментарии для создания и проверки по цифровым подписям. Обе уязвимости (1, 2) позволяют использовать управляющие последовательности терминала ("\e[1E") или спецсимволы ("\r") в поле с комментарием для модификации вывода программы, например, для замены информации о результате верификации.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Автор GnuPG основал LibrePGP, форк стандарта OpenPGP
  3. OpenNews: Автор GnuPG прекращает передачу имущественных прав Фонду СПО
  4. OpenNews: Критическая уязвимость в библиотеке Libgcrypt 1.9.0, затрагивающая GnuPG и systemd
  5. OpenNews: Разработчики GnuPG предупредили о трудноустранимой атаке на серверы ключей
  6. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64517-gnupg
Ключевые слова: gnupg, gpg
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (65) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Grand (?), 13:21, 28/12/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –2 +/
     

  • 1.2, Аноним (2), 13:25, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены.

    Еще не все, кто надо, воспользовались :)

     
     
  • 2.5, Аноним (5), 13:29, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
     

  • 1.4, Аноним (5), 13:28, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.      
     
     
  • 2.8, Бжежко (ok), 13:36, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
     
     
  • 3.10, Аноним (5), 13:38, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
     
     
  • 4.38, Аноним (38), 14:39, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >Анб навязывает Раст

    У DARPA получилось "навязать" Интернет всему миру.

     
     
  • 5.56, Аноним (56), 15:06, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Вместо mesh-сетей, у которых нет рубильника.
     
  • 3.16, Аноним на удаленке (?), 13:54, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
     
     
  • 4.42, Бжежко (ok), 14:45, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
     
     
  • 5.58, Аноним (5), 15:09, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Я тебя сейчас удивлю, готовься, набери воздуха в грудь. Все языки требуют предельной внимательности.
     
  • 5.61, 12yoexpert (ok), 15:18, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Cи не столько требует высокой квалификации, сколько предельной внимательности

    от создателей "llm-бот - это всего лишь инструмент" и подобных гениальных изречений

    хочется достать розги и погнать на уроки

     
  • 4.72, Аноним (72), 15:41, 28/12/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 3.23, Аноним (23), 14:03, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Перепишут на Algol68.
     
  • 3.52, Tron is Whistling (?), 15:04, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
     
  • 2.9, Аноним на удаленке (?), 13:37, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
     
     
  • 3.11, Аноним (5), 13:39, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Просто назови автора коммита. Выйди из комнаты и соверши ошибку.
     
     
  • 4.15, Аноним на удаленке (?), 13:49, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Так просто все. Иди на гит этого проекта и посмотри кто писал, кто одобрил. Все открыто же
     
     
  • 5.26, Аноним (5), 14:08, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Вот видишь у тебя а голове стоит блок на мыслепреступление. Ты не имеешь права сомневаться в большом брате.  
     
     
  • 6.30, анонимно2 (?), 14:14, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Какой блок, если подробностей нет то и не известно где в коде проблемы. Будут опубликованы исправления можно будет смотреть чьи ошибки.
     
     
  • 7.33, Аноним (5), 14:20, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Отмазы для бедных. Просто никому невыгодно раскрывать крота. И нельзя чтобы пролы начинали задавать вопросы.
     
  • 3.18, Аноним (18), 13:57, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >залатность

    Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)

     
  • 2.12, Аноним (38), 13:44, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    >серьёзные люди его попросили чуть-чуть ошибиться

    Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.

     
     
  • 3.27, Аноним (5), 14:09, 28/12/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 3.64, 12yoexpert (ok), 15:25, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    ты реально думаешь, что вяленый, пулса, раст, телеграм, gimp и cloudflare, - это всё дурость, а не целенаправленный саботаж?
     
     
  • 4.69, Аноним (69), 15:31, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > за пределы буфера записывается лишний байт

    Опять сишникам в штаны кто-то другой наложил?..

     
  • 2.47, timur.davletshin (ok), 14:52, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
     
  • 2.60, Аноним (60), 15:15, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А какие у вас будут доказательства что человек специально написал уязвимости?
     
     
  • 3.63, Фнон (?), 15:24, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Э... т.е человек чисто случайно не приходя в сознание написал код?
    Который чисто случайно оказался овнокодищем?
    И совершенно случайно и совсем не специально привел к уязвимости?
    Звучит логично!
    Особенно для #define MAX_LINELEN 20000
     

  • 1.6, Аноним на удаленке (?), 13:33, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    "Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"),"
    И
    "Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
     
     
  • 2.71, Аноним (71), 15:32, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    если что деды тесты не пишут
     

  • 1.22, Аноним (22), 14:03, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла

    О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..

     
     
  • 2.28, Фнон (-), 14:09, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?
    Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!"
    Правдо в подобных проектах обычно warning'и выключают.
     
     
  • 3.31, Аноним (5), 14:16, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.

     
  • 3.44, Аноним (44), 14:48, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?

    А у скрипача должна быть скрипка, не позволяющая плохо играть?))

     
     
  • 4.48, Бжежко (ok), 14:56, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
     
     
  • 5.54, Tron is Whistling (?), 15:05, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
     
     
  • 6.67, Фнон (?), 15:29, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Но и оставшийся процент сможет нафакапить?
    Therac-25 передает привет)

    Я уже молчу про менее смертельные, но неприятные ошибки, типа 1к пострадавших почтальонов (включая тюремные сроки) у Бриташек, которым узкоглазые из Fujitsu написали овнокод.

     
  • 5.57, Аноним (5), 15:07, 28/12/2025 Скрыто ботом-модератором     [к модератору]
    		• +2 +/
     
  • 4.65, Анонимусс (-), 15:25, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > А у скрипача должна быть скрипка, не позволяющая плохо играть?))

    У скрипача должна быть скрипка, а не табуретка к которой прифигачили несколько кусков медного провода.
    Так и тут - у разработчика должен быть инструмент, а не древнее овно мамонта.

     

  • 1.25, Аноним (-), 14:07, 28/12/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     
  • 1.29, Аноним (5), 14:14, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
     
     
  • 2.32, Аноним (32), 14:20, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Вы пострадали от
    > И это не просто ошибка в калькуляторе

    ?

     
     
  • 3.34, Аноним (5), 14:21, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
     
  • 2.35, Аноним (35), 14:36, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
     
     
  • 3.43, Аноним (43), 14:46, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
     
     
  • 4.53, Аноним (5), 15:04, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Как говорится не дайте себя обмануть в другом месте.
     
  • 4.55, Аноним (35), 15:05, 28/12/2025 Скрыто ботом-модератором     [к модератору]
    		• +1 +/
     
  • 2.37, Аноним (23), 14:39, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
     

  • 1.36, Аноним (43), 14:37, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    1. там в анонсе ещё секвоя была заявлена:

    >When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*.

    2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/xous-a-pure-rust-r

    Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.

     
     
  • 2.51, Tron is Whistling (?), 15:02, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    (2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
     
     
  • 3.66, 12yoexpert (ok), 15:29, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    никому
     

  • 1.39, Аноним (43), 14:41, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера

    Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.

     
  • 1.40, Аноним (38), 14:43, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >обрезка данных по границе 20000 символов при вычислении хэша

    Закладки так не делают. Такое можно сделать только по исключительной тупости.

     
     
  • 2.46, Аноним (46), 14:50, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
     
     
  • 3.68, Аноним (38), 15:30, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >Закладки именно так делают.

    Почитай разбор про выбор параметров таблиц замен в алгоритмах Стрибог и Кузнечик. Лучшие мировые криптоаналитики бились, но *доказать* неслучайность так и не смогли. В итоге предали анафеме исключительно на основе «highly likely» (часовню тоже я)

    Вот как делают закладки.

     
  • 2.50, Аноним (5), 15:02, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
     
     
  • 3.62, Аноним (60), 15:19, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Какие доказательства есть что это закладка а не человеческая ошибка?
     
     
  • 4.74, Аноним (5), 15:42, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Какие доказательства есть что это человеческая ошибка а не закладка?
     

  • 1.41, localhostadmin (ok), 14:44, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
     
     
  • 2.59, Фнон (?), 15:15, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Как можно не понимать такие простые вещи??
    systemd делалось по заказу корпораций для угнетения админов,
    а gpg пишут мальчики-зайчики из проекта ГНУ!
     
     
  • 3.73, Аноним (5), 15:41, 28/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Кто финансирует зайчиков? Кто у них тимлид, начальник, к т отдаёт им приказы, кто контролирует? Кто контролирует тех кто контролирует?
     

  • 1.49, Tron is Whistling (?), 15:01, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
     
  • 1.70, Аноним (70), 15:31, 28/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Во-первых, на сайте я вижу 14 пунктов а не 12. Во-вторых, вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"
    : https://openwall.com/lists/oss-security/2025/12/28/5
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру