17 августа 2016 года разработчики GnuPG сообщили об устранении критической уязвимости, которой повержены все версии GnuPG, вышедшие за 18 лет. Баг был обнаружен в генераторе случайных чисел и библиотеке Libgcrypt.

Уязвимость была найдена специалистами Технологического института Карлсруэ, Феликсом Дёрре (Felix Dörre) и Владимиром Клебановым. Багу присвоили идентификатор CVE-2016-6313.

Описание проблемы сводится к следующему: если атакующему удастся извлечь 4620 бит данных из генератора случайных чисел, то последующие 160 бит последовательности он сумеет легко предсказать. При этом баг присутствует во всех версиях GnuPG и Libgcrypt, вышедших до 17 августа текущего года.

В заявлении разработчиков отдельно сообщается, что проблема не должна сказываться на безопасности существующих RSA-ключей. Также специалистам считают крайне маловероятным, что кто-то сумеет использовать публичную информацию для предсказания приватных ключей DSA и Elgamal, однако в документе сообщается, что проблему все еще продолжают изучать.

Уязвимость устранена выпуском Libgcrypt 1.7.3, 1.6.6 и 1.5.6 и релизом GnuPG 1.4.21, всем пользователям настоятельно рекомендуют обновиться или дождаться соответствующего патча от своего вендора.

1 комментарий

  1. Андрей

    29.08.2016 at 00:20

    Собственно, ничего нового в линуксе. Отсутствие материальной поддержки лишает разработчиков мотивации. А на голом энтузиазме далеко не уедешь.

Оставить мнение