Re: [GÜVENLİK] GnuPG için acil güvenlik duyurusu

[Recai Oktaş <roktas@debian.org>]

* neyzen ben [2006-12-10 01:33:58+0200]
> Öncelikle uyarınız için teşekkür ederim. Daha henüz "öğrenmekte olan" bir
> Debian kullanıcısı olarak açığın nasıl bir açık olduğu ve ne gibi
> sorunlara yol açabildiği üzerine daha ayrıntılı bilgi alabilirsem çok
> sevinirim.  Mesela: Sürümü yükselttikten sonra yeni bir anahtar alıp daha
> önce şifrelediğimiz metinleri yeniden şifrelemek gerekli mi? Yukarıdaki
> uyarı benim için pek açık değil.

Hayır yeniden şifreleme yapmak gerekiyor.  Haberde adresini verdiğim
duyuruda ayrıntılı açıklamalar mevcut:

    GnuPG uses data structures called filters to process OpenPGP messages.
    [...]
    The filter context includes another context used by the low-level
    decryption to access the decryption algorithm.  This is done using a
    function pointer.  By carefully crafting an OpenPGP message, an
    attacker may control this function pointer and call an arbitrary
    function of the process.  Obviously an exploit needs to prepared for a
    specific version, compiler, libc, etc to be successful - but it is
    definitely doable.

GnuPG ile imzalanmış veya şifrelenmiş eposta iletileri denetlenirken veya
çözülürken bir güvenlik açığı var burada.  Sadece ilgili paketi yenilemeniz
yeterli.

-- 
roktas