17 августа 2016 года разработчики GnuPG сообщили об устранении критической уязвимости, которой повержены все версии GnuPG, вышедшие за 18 лет. Баг был обнаружен в генераторе случайных чисел и библиотеке Libgcrypt.

Уязвимость была найдена специалистами Технологического института Карлсруэ, Феликсом Дёрре (Felix Dörre) и Владимиром Клебановым. Багу присвоили идентификатор CVE-2016-6313.

Описание проблемы сводится к следующему: если атакующему удастся извлечь 4620 бит данных из генератора случайных чисел, то последующие 160 бит последовательности он сумеет легко предсказать. При этом баг присутствует во всех версиях GnuPG и Libgcrypt, вышедших до 17 августа текущего года.

В заявлении разработчиков отдельно сообщается, что проблема не должна сказываться на безопасности существующих RSA-ключей. Также специалистам считают крайне маловероятным, что кто-то сумеет использовать публичную информацию для предсказания приватных ключей DSA и Elgamal, однако в документе сообщается, что проблему все еще продолжают изучать.

Уязвимость устранена выпуском Libgcrypt 1.7.3, 1.6.6 и 1.5.6 и релизом GnuPG 1.4.21, всем пользователям настоятельно рекомендуют обновиться или дождаться соответствующего патча от своего вендора.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии