LINUX.ORG.RU

Уязвимость в GnuPG

 , ,


1

0

Demi Marie Obenour из Invisible Things Lab обнаружила уязвимость в GnuPG. Злоумышленник может вызвать отказ в обслуживании (продолжительное зависание), отправляя на проверку открепленные GPG-подписи или сертификаты, содержащие один сжатый пакет с повторенной много раз цифровой подписью. Исследователю удалось израсходовать более минуты процессорного времени на проверку входных данных размером менее 5 килобайт.

Письмо с демонстрацией атаки было направлено в рассылку OSS-Security. Однако, на него пожаловались подписчики: почтовые клиенты Evolution и Mutt (с параметром конфигурации pgp_auto_decode=yes) пытаются автоматически проверить подпись в приложенном файле и зависают. Поэтому автор атаки выслал пример повторно, на этот раз - в зашифрованном zip-архиве.

Патч для GnuPG уже обсуждается разработчиками. Исправление сводится к запрету обработки сжатых пакетов в ключах и некоторых видах цифровых подписей.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 2)

Ответ на: комментарий от tz4678_2

Атака «Отказ в обслуживании». Используйте по назначению :)

lor-login
()

Исправление сводится к запрету обработки сжатых пакетов в ключах и некоторых видах цифровых подписей.

Какое-то неправильное исправление. Впрочем я не удивлён.

firkax ★★★★★
()

Есть мнение, что сабж устарел и для его замены появляются неплохие программы вроде signify, age.

vbr ★★★
()
Ответ на: комментарий от iamdenchik

Ну если проблема в том, что там много подписей, то ограничением на их количество например. Или на количество распакованных байт подписей.

Их фикс это как запретить архиваторы в ответ на теоретическую возможность zip-бомб. Даже хуже. Их фикс выглядит как запрет использовать content-encoding: deflate в заголовках http-ответов из-за того, что архиватор zip, внутри использующий тот же алгоритм, позволяет столкнуться с zip-бомбой.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

Да нет, это похоже таки он.

Какая разница?

X512 ★★★★★
()

Он / не он. Кака в попу разница :)

Какие там альтерантивы есть? OpenPGP, AES Crypt ? Всяко лучше гнутого софта.

Gonzo ★★★★★
()
Ответ на: комментарий от imul

Я чет вспомнил эту картинку:

  • Доктор, я хочу себе отрезать палец!

  • Вы что больной?

  • Доктор я хочу отрезать член!

  • Можем приступить прямо сегодня…

she/her/hers

Так подписываются только мужики, которые себя считают бабами. У меня самый большой страх сойти с ума. Стадию дереализации я постиг… Как дойти до такого я хз. Наверное, у них жесткая пропаганда всего нормальной ненормальности. Я не знаю. Во Франции то что сейчас в Америке было уже в 80-х.

tz4678_2
()

Было дело так почтовые сервисы дудосили. Отправляли сжатые файлы с нулями. Золотое было время :D

perl5_guy ★★★★★
()

В Debian и Devuan уже позавчера исправили.

Odalist ★★★★★
()

Хороший софт ГНУтым не назовут!

filosofia
()
Ответ на: комментарий от ya-betmen

Это были разные люди?

Нет, это гендерфлюидная небинарная персона.

hateyoufeel ★★★★★
()
Ответ на: комментарий от theNamelessOne

Ну если git заточен под gpg, как оно ещё может выглядеть. По мере роста популярности наверняка добавят нормальную интеграцию, а пока так.

vbr ★★★
()
Ответ на: комментарий от firkax

Утверждается, что " I am not aware of any implementation that uses them in keys or detached signatures. Therefore, disallow their use in such contexts entirely."

Поэтому можно безболезненно запретить. В текущем виде это просто абсолютно лишняя поверхность для атаки, никакой пользы не несущая.

MozillaFirefox ★★★★★
()
Последнее исправление: MozillaFirefox (всего исправлений: 2)

Поэтому автор атаки выслал пример повторно

Авторка выслала.

GFORGX ★★★
()

огоо какая жуткая уязвимость, что о ней написали... это даже не уязвимость. это типа показать, что женщины тоже могут искать «уязвимости»?

bernd ★★★★★
()
Ответ на: комментарий от bernd

это типа показать, что женщины тоже могут искать «уязвимости»?

Ну что за пещерный сексизм. Так-то и среди девушек попадаются весьма известные и продуктивные специалисты по информационной безопасности, например:

https://ru.wikipedia.org/wiki/Рутковская,_Йоанна

EXL ★★★★★
()

самое интересно в новости, что исследователь тролль, конечно :)

так сказать, выслал PoC еще до того, как попросили!

v9lij ★★★★★
()
Ответ на: комментарий от peregrine

сфера иб очень специфична, там нету специалистов от слова вообще

Не могу на 100% согласиться. Хорошие специалисты есть. Сам видел и слышал на конференциях. А вот нанять кого надо не получается - идут «специалисты», которые умеют только злобно и оглушительно перекукарекивать «найденные» сторонними сканерами вещи программистам, даже не пытаясь понять, что это такое и не ложное ли это срабатывание. Или еще хуже - продавцы продуктов класса «snake oil» от конкретных контор.

Доходит до того, что на собеседовании даем такому «специалисту» простейшую архитектуру с приложением на одном EC2-инстансе и базой данных на другом, и спрашиваем, что, от чего и как здесь можно и нужно защитить. Говорит что-то что нужен firewall, а вот ключевую фразу, что firewall’ом надо запретить доступ к базе отовсюду, кроме приложения, сказать не может.

И это не про Россию.

AEP ★★★★★
() автор топика
Ответ на: комментарий от EXL

а никто и не спорит, что есть. только в данном случае это мелкая бага, а не «уязвимость»

bernd ★★★★★
()

Я не понял, его всё-таки взломали или нет?

BinHex
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.