Re: [GÜVENLİK] GnuPG için acil güvenlik duyurusu
* neyzen ben [2006-12-10 01:33:58+0200]
> Öncelikle uyarınız için teşekkür ederim. Daha henüz "öğrenmekte olan" bir
> Debian kullanıcısı olarak açığın nasıl bir açık olduğu ve ne gibi
> sorunlara yol açabildiği üzerine daha ayrıntılı bilgi alabilirsem çok
> sevinirim. Mesela: Sürümü yükselttikten sonra yeni bir anahtar alıp daha
> önce şifrelediğimiz metinleri yeniden şifrelemek gerekli mi? Yukarıdaki
> uyarı benim için pek açık değil.
Hayır yeniden şifreleme yapmak gerekiyor. Haberde adresini verdiğim
duyuruda ayrıntılı açıklamalar mevcut:
GnuPG uses data structures called filters to process OpenPGP messages.
[...]
The filter context includes another context used by the low-level
decryption to access the decryption algorithm. This is done using a
function pointer. By carefully crafting an OpenPGP message, an
attacker may control this function pointer and call an arbitrary
function of the process. Obviously an exploit needs to prepared for a
specific version, compiler, libc, etc to be successful - but it is
definitely doable.
GnuPG ile imzalanmış veya şifrelenmiş eposta iletileri denetlenirken veya
çözülürken bir güvenlik açığı var burada. Sadece ilgili paketi yenilemeniz
yeterli.
--
roktas
Reply to: