Обнаруженная в GnuPG уязвимость SigSpoof позволяла подделывать любые подписи - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

       
15-06-2018, 20:00
Обнаруженная в GnuPG уязвимость SigSpoof позволяла подделывать любые подписи - «Новости»
Рейтинг:
Категория: Новости

Часть GNU Project, известная под названиями GPG и GnuPG – это свободная имплементация стандарта OpenPGP, который используется для шифрования данных и создания электронных подписей.


В этом месяце было представлено обновление GnuPG до версии 2.2.8, исправляющее уязвимость SigSpoof, которой был присвоен идентификатор CVE-2018-12020. Проблема была обнаружена ИБ-специалистом Маркусом Бринкманном (Marcus Brinkmann) и представляет опасность для GnuPG, Enigmail, GPGTools и python-gnupg.


«Верификация электронных подписей в Enigmail 2.0.6.1, GPGTools 2018.2 и python-gnupg 0.4.2 осуществляется путем парсинга данных, полученных от GnuPG 2.2.6, с опцией --status-fd 2. Это позволяет удаленному атакующему подделать произвольную подпись через встроенный параметр filename в пакетах литеральных данных OpenPGP. Для этого в конфигурационном файле gpg.conf у пользователя должна быть включена опция verbose», — пишет исследователь в отчете, к которому были приложены proof-of-concept эксплоиты для Enigmail и GPGTools.


Разработчики поясняют, что программы парсят статусные сообщения, чтобы получить от GPG информацию о действительности подписей. Статусные сообщения создаются с опцией --status-fd N, где N – это дескриптор файла. В случае если N – это 2, статусные сообщения делят канал выхода stderr с обычными диагностическими сообщениями.


Проблема состоит в том, что OpenPGP позволяет включать имя оригинального input-файла в подписанные или зашифрованные сообщения. GnuPG во время расшифровки и верификации может отображать уведомление, содержащее имя данного файла, однако очистка имени файла производится некорректно, и в итоге атакующий имеет возможность включить в него управляющие символы. В результате статусное сообщение может быть подделано, равно как и статус верификации произвольной подписи. Единственное условие: длина статусного сообщения не должна превышать 255 символов.


«Атакующий может внедрить произвольное (фальшивое) статусное сообщение GnuPG в парсер приложения, подделав верификацию подписи и результат расшифровки сообщения. Атакующий может контролировать спецификации алгоритма, время создания, User ID и так далее, и все это без публичных или приватных ключей», — рассказывает Бринкманн.


Специалист рекомендует пользователям убедиться, что verbose в файле gpg.conf выключен, а также советует избегать использования gpg --verbose в командной строке. Разработчикам Бринкманн порекомендовал всегда использовать --no-verbose при вызове gpg.


Источник новостиgoogle.com

Часть GNU Project, известная под названиями GPG и GnuPG – это свободная имплементация стандарта OpenPGP, который используется для шифрования данных и создания электронных подписей. В этом месяце было представлено обновление GnuPG до версии 2.2.8, исправляющее уязвимость SigSpoof, которой был присвоен идентификатор CVE-2018-12020. Проблема была обнаружена ИБ-специалистом Маркусом Бринкманном (Marcus Brinkmann) и представляет опасность для GnuPG, Enigmail, GPGTools и python-gnupg. «Верификация электронных подписей в Enigmail 2.0.6.1, GPGTools 2018.2 и python-gnupg 0.4.2 осуществляется путем парсинга данных, полученных от GnuPG 2.2.6, с опцией --status-fd 2. Это позволяет удаленному атакующему подделать произвольную подпись через встроенный параметр filename в пакетах литеральных данных OpenPGP. Для этого в конфигурационном файле gpg.conf у пользователя должна быть включена опция verbose», — пишет исследователь в отчете, к которому были приложены proof-of-concept эксплоиты для Enigmail и GPGTools. Разработчики поясняют, что программы парсят статусные сообщения, чтобы получить от GPG информацию о действительности подписей. Статусные сообщения создаются с опцией --status-fd N, где N – это дескриптор файла. В случае если N – это 2, статусные сообщения делят канал выхода stderr с обычными диагностическими сообщениями. Проблема состоит в том, что OpenPGP позволяет включать имя оригинального input-файла в подписанные или зашифрованные сообщения. GnuPG во время расшифровки и верификации может отображать уведомление, содержащее имя данного файла, однако очистка имени файла производится некорректно, и в итоге атакующий имеет возможность включить в него управляющие символы. В результате статусное сообщение может быть подделано, равно как и статус верификации произвольной подписи. Единственное условие: длина статусного сообщения не должна превышать 255 символов. «Атакующий может внедрить произвольное (фальшивое) статусное сообщение GnuPG в парсер приложения, подделав верификацию подписи и результат расшифровки сообщения. Атакующий может контролировать спецификации алгоритма, время создания, User ID и так далее, и все это без публичных или приватных ключей», — рассказывает Бринкманн. Специалист рекомендует пользователям убедиться, что verbose в файле gpg.conf выключен, а также советует избегать использования gpg --verbose в командной строке. Разработчикам Бринкманн порекомендовал всегда использовать --no-verbose при вызове gpg. Источник новости - google.com

Теги: CSS, GnuPG может сообщения сообщения. быть

Просмотров: 552
Комментариев: 0:   15-06-2018, 20:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle