5 октября состоялось обновление программы GNU Privacy Guard (GnuPG) до версий 1.4.15 и 2.0.22. Разработчики настоятельно рекомендуют всем пользователям установить это обновление безопасности.
GnuPG — программа для шифрования сообщений и файлов на диске. Ее можно использовать для создания цифровых подписей, она обеспечивает средства для эффективного управления ключами и совместима со стандартами OpenPGP и S/MIME.
В новых версиях исправлена серьезная проблема с безопасностью. Как выяснилорсь, в старых версиях посторонний злоумышленник имеет возможность прислать специально составленный ключ, который приводит к DoS-атаке на модуль GPG (он используется в GnuPG для поддержки OpenPGP) и некоторые другие реализации OpenPGP. После получения этих данных GPG погружается в бесконечный цикл рекурсии, см. уязвимость CVE-2013-4402. Подробную информацию о составлении вредоносной последовательности данных опубликуют позже.
В качестве защиты на старых версиях программы можно использовать опцию ulimit –v, но лучше обновиться.
Вариант GnuPG-1 (1.4.15) отличается от GnuPG-2 (2.0.22) более компактным размером и независимостью от сторонних модулей для запуска, отсутствием поддержки S/MIME, Secure Shell и некоторых других инструментов. В принципе, можно установить в системе обе версии без всяких конфликтов. Более простую версию выбирают, когда нужна только поддержка OpenPGP и больше ничего.
Программа разработана для систем GNU/Linux и *BSD, но есть версии также под Windows и Mac OS X. Исходный код и бинарные файлы можно взять здесь.
