The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "  +/
Сообщение от opennews (?), 28-Дек-25, 13:21 
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP  и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке  шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64517

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (2), 28-Дек-25, 13:25 
>Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены.

Еще не все, кто надо, воспользовались :)

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +8 +/
Сообщение от Аноним (5), 28-Дек-25, 13:29 
Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
Ответить | Правка | Наверх | Cообщить модератору

135. Скрыто модератором  –2 +/
Сообщение от Аноним (135), 28-Дек-25, 20:34 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от Аноним (5), 28-Дек-25, 13:28 
Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.      
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Бжежко (ok), 28-Дек-25, 13:36 
Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +4 +/
Сообщение от Аноним (5), 28-Дек-25, 13:38 
Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +3 +/
Сообщение от Аноним (38), 28-Дек-25, 14:39 
>Анб навязывает Раст

У DARPA получилось "навязать" Интернет всему миру.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +8 +/
Сообщение от Аноним (56), 28-Дек-25, 15:06 
Вместо mesh-сетей, у которых нет рубильника.
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (5), 28-Дек-25, 15:44 
Каждый роутер даже в меш сети рассадник уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (138), 28-Дек-25, 20:41 
Не понял тут имеется меш сеть типа Yggdrasil? Они же распространены, и уязвимости 1 компьютер из миллиона не в счет
Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от penetrator (?), 28-Дек-25, 18:19 
ой а чего это вы фидонет до сих пор не используете?

дураку понятно, что это рынок, скорость и охват все решил

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

119. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (-), 28-Дек-25, 19:13 
> Вместо mesh-сетей

Нежизнеспособная фигня.

> у которых нет рубильника.

Рубильник есть у всего. Если не физический, то в виде закона.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

132. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (132), 28-Дек-25, 20:20 
> Рубильник есть у всего. Если не физический, то в виде закона.

Мало принять закон, нужно добиться его исполнения. Попробуй запретить людям дышать - запрещалку надорвёшь. К тому же, у закона есть условия применения и порядок исполнения.
А вот замечательный Интернет запрещается, замедляется и ограничивается по щелчку пальцев, безо всякого закона, по произволу узкого круга лиц.

Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (139), 28-Дек-25, 20:44 
Когда на это требуется 3-5 лет работы десятков тысяч людей, совершенно не честно называть это «по щелчку пальцев».
А сломать можно всё. Без исключений. Если есть решимость и ресурсы на это — то будет сломано.

Уверен, если бы интернет изобрели на 20 лет позже, ни о какой анонимности в нём речи бы не было. Каждый байт имел бы «изготовил-по заданию-проверил-выпустил».

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (146), 28-Дек-25, 21:24 
> Попробуй запретить людям дышать

С этим нет проблем, разве что постепенность требуется (нельзя запрещать всем сразу), но с интернетом ровно то же самое.
https://en.wikipedia.org/wiki/Gas_chamber

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

120. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:27 
Ну отчасти да. Не факт, что конкретно им, но, в общем-то, да.
"Интернет" - это, по сути, подобие торговой марки совершенно конкретной сети.

А, в общем и целом, свои собственные сети были у многих, даже у франции была своя собственная( но в итоге прикрыли, заменив американским "интернетом" )

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

169. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (-), 29-Дек-25, 07:09 
>У DARPA получилось "навязать" Интернет всему миру.

Никто ничего не навязывал. Интернет стихийно распространился. Конкретно в России Интернет делали частники. Государство ровным счётом ничего не делало. Чиновники пришли на всё готовое и отжали рынок Интернета.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

104. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (104), 28-Дек-25, 17:02 
Посмотрим, что это анб скажет на gccrs.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

111. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (111), 28-Дек-25, 17:48 
Вечно отстающая реализация языка, где требовать вчерашнюю ночнушку в продакшен норма.
Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (104), 28-Дек-25, 19:07 
В ядре самый свежий Rust не нужен.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –5 +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:54 
Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

42. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Бжежко (ok), 28-Дек-25, 14:45 
Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:09 
Я тебя сейчас удивлю, готовься, набери воздуха в грудь. Все языки требуют предельной внимательности.
Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Бжежко (ok), 28-Дек-25, 15:44 
Очевидно, что не все. Языки с автоматическим управлением памятью не требуют предельной внимательности именно в этой части - за GC/RAII/счётчики ссылок значительную долю рутины берёт на себя рантайм или стандартные абстракции.

Из-за этого снижается когнитивная нагрузка, меньше нужно держать в голове жизненные циклы объектов, владение, корректность освобождения, риск use-after-free и double free. Высвобождённые ресурсы разработчик может направить на архитектуру, корректность бизнес-логики, тестирование, производительность на уровне алгоритмов итд

Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Буратино (?), 29-Дек-25, 00:52 
Ну так чем дружелюбнее язык, тем больше м@к@к в него придёт.
"Волшебных таблеток от всего" и "царского пути в математике" не бывает.

Язык примитивный и слабовыразительный - будут выходить за буфера и разыменовывать нули.
Язык высокоуровневый и выразительный - будут путаться в своих <s>мудях</s> абстракциях.
Примером те эпические дыры в десериализации Java и PHP, когда из снаружи пришедшего жсона десериализовывались объекты с разного рода активностями.
И тоже - эта хрень висела чёрти сколько незамеченной.

Ответить | Правка | Наверх | Cообщить модератору

162. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Прохожий (??), 29-Дек-25, 01:34 
>Язык примитивный и слабовыразительный - будут выходить за буфера и разыменовывать нули.

И каждый раз с нуля изобретать свои собственные абстракции, чтобы потом в них путаться.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (72), 28-Дек-25, 15:41 
Можно… но нужно ли? Так-то _можно_ и на ассемблере писать.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

80. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от онанист (?), 28-Дек-25, 15:49 
невозможно на си писать не выщывая проблем.

надо быть тока повнимательнее

зороший качественный

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

140. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (139), 28-Дек-25, 20:46 
А?
Что?
Не слышно!
Повторите, ничего не понятно!
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (23), 28-Дек-25, 14:03 
Перепишут на Algol68.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

52. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:04 
Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

85. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:06 
Сложно — не значит не возможно. Все эти ошибки можно было бы отловить фаззингом. А часть — и статическим анализом. Но проект слишком стар, во время его появления таким не занимались. Почему до сих пор этого не сделали — большой вопрос, однако.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

128. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (128), 28-Дек-25, 19:39 
Просто на сях надо писать так, чтоб это был безопасный код - оборачивать почти все опасные и потенциально опасные операции структурами и функциями, которые будут гарантировать правильность данных. Но это муторно и некрасиво выходит, что в тех же крестах может скрыто в методах и прочих оверрайдах(если сделано).
Т.е. вместо простых:
struct T* a = malloc(...);
надо делать
struct T* a = new_T(...);
который будет и malloc/calloc, и проверку на выделение, и инициализацию. В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов, но такое даже в крестах ленятся делать. Итерации по указателям тупо делают p++, а не через спец функцию/метод next_, доступ к поинтеру тоже через функцию, доступ к элементу массива, тоже через функцию + не тупо malloc, а спец структура с ворохом функций, которые будут гарантировать выделение, размер и доступ. Да, это всё будет в результате жрать ресурсы, и программа будет работать +/- также медленно как и на всяких "безопасных" языках, но зато такой код будет сложно сломать логически ошибившись. А простой и прямой доступ оставлять только там где нужна явная производительность, и достаточно легко отследить что всё будет хорошо.
Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 21:00 
Ну и на фига это делать на C тогда?
Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (146), 28-Дек-25, 21:04 
> В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов

И название обновить. В честь острова там какого-нибудь или количество плюсов диезом обыграть.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

142. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (139), 28-Дек-25, 20:47 
Потому что само оно не делается, и делать это некому.
Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

108. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от Аноним (146), 28-Дек-25, 17:20 
> не отвечает требованиям современных вызовов

Неправильно, в Си отсутствует наличие соответствия нормам концептуальных требований современных вызовов дорожной карты устойчивого развития.

А так-то да, если бы он постепенно превращался в D, ничего бы не было (а не "добавим VLA, уберём VLA; добавим Annex K, забудем Annex K; ой всё, мы уже целых 2 раза пытались язык улучшать, ни вышла").

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

115. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от penetrator (?), 28-Дек-25, 18:21 
учитывая культуру производства, там все равно какой язык, грабли - гарантированы, и чуть большая сложность си не так уж важна
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

118. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (146), 28-Дек-25, 19:07 
Но даже в системных языках надо сложность убирать под ковёр, чтобы без ошибок большие проекты писать.

Отсюда деструкторы в Rust. Массивы, которые не забывают свой размер (= толстые указатели = слайсы, которые были в D и распиарились в Go).

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –3 +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:37 
Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

11. Скрыто модератором  +4 +/
Сообщение от Аноним (5), 28-Дек-25, 13:39 
Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  +1 +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:49 
Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  +/
Сообщение от Аноним (5), 28-Дек-25, 14:08 
Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором  +/
Сообщение от анонимно2 (?), 28-Дек-25, 14:14 
Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Аноним (5), 28-Дек-25, 14:20 
Ответить | Правка | Наверх | Cообщить модератору

123. Скрыто модератором  +/
Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:31 
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

88. Скрыто модератором  +/
Сообщение от Аноним (85), 28-Дек-25, 16:10 
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (18), 28-Дек-25, 13:57 
>залатность

Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (38), 28-Дек-25, 13:44 
>серьёзные люди его попросили чуть-чуть ошибиться

Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

64. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от 12yoexpert (ok), 28-Дек-25, 15:25 
ты реально думаешь, что вяленый, пулса, раст, телеграм, gimp и cloudflare, - это всё дурость, а не целенаправленный саботаж?
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Бжежко (ok), 28-Дек-25, 15:49 
> это всё дурость, а не целенаправленный саботаж

Можешь это доказать?

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от timur.davletshin (ok), 28-Дек-25, 14:52 
У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

130. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (130), 28-Дек-25, 20:11 
Одни и те же люди, с самого создания софта. Коммит, который сделал двойной инкремент, запатчил сам же автор, который эту ошибку допустил ещё в 1999 году:
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=commi...

Мб это дело всё же стоит форкнуть и переписать с нормальными стилем кода и названиями переменных.

Ответить | Правка | Наверх | Cообщить модератору

172. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от timur.davletshin (ok), 29-Дек-25, 07:44 
> Одни и те же люди, с самого создания софта.

Молодец, ты понял мой тезис. Теперь возьми с полки печеньку.

Ответить | Правка | Наверх | Cообщить модератору

185. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (185), 29-Дек-25, 11:25 
Это надо не форкать, это надо закопать, да поглубже. Желательно - вместе с авторами. Более какашечный софт, чем гнупг, трудно придумать.
Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

60. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (60), 28-Дек-25, 15:15 
А какие у вас будут доказательства что человек специально написал уязвимости?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

63. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Фнон (?), 28-Дек-25, 15:24 
Э... т.е человек чисто случайно не приходя в сознание написал код?
Который чисто случайно оказался овнокодищем?
И совершенно случайно и совсем не специально привел к уязвимости?
Звучит логично!
Особенно для #define MAX_LINELEN 20000
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:43 
То есть Jia Tan не виноват, а хакеров выдумали массоны?
Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (100), 28-Дек-25, 16:50 
/s Ну очевидно же что это ложный китайский след чтобы очернить некорпоративных разработчиков
Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (122), 28-Дек-25, 19:30 
Раз ложный след значит просто ошибка? Понять и простить?
Ответить | Правка | Наверх | Cообщить модератору

187. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (185), 29-Дек-25, 11:46 
Ни один "масон" с такими "хакерами" дел иметь не будет. Нормальные "масоны" таких "хакеров" крюком за два квартала обходят.
Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

91. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:14 
Дай угадаю: в твоём коде никогда не бывает ошибок, потому что ты за свою жизнь не написал ни строчки кода, достойной того, чтобы кто-то стал искать в нём ошибки?
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

131. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (130), 28-Дек-25, 20:15 
Это остатки кода из 1999 года, когда в коммитах ещё встречаются рофлы вида

-#if 0
+#if 1

Так что да, там большая часть кода - это старый хлам, который рефакторнуть забыли, иначе всё сломают. Проекту больше программистов нужно, но коммитов кот наплакал, хотя очевидно заинтересованные в софте хакеры и пользователи существуют в огромном количестве.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

126. Скрыто модератором  –1 +/
Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:38 
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

180. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (-), 29-Дек-25, 10:45 
Я не разглядывал все эти баги внимательно, но те что я разглядывал из той поры, когда серьёзные люди не считали gpg достаточно серьёзным, чтобы обращать на него внимание. Сегодня, может быть, серьёзные люди обращают на него внимание (хотя опять же зачем? как часто эту хрень используют те, кто против серьёзных людей выступает?), но не в те пархатые времена, когда gnupg начинался.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:33 
"Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"),"
И
"Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Аноним (71), 28-Дек-25, 15:32 
если что деды тесты не пишут
Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (130), 28-Дек-25, 20:27 
Код с этой ошибкой прямиком из 1999 года, там ещё переключения через '-#if 0' '+#if 1' в коммитах попадаются вместо выпиливания неработающего кода. Если бы в GNU было полегче присылать коммиты, может быть у них было бы меньше таких идиотских ошибок. А так вся надежда на то, что оригинальный автор пропатчит код, а то вдруг кусок функции которая буквы читает принадлежит кому-то ещё и не оригинальный лол.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

194. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (194), 29-Дек-25, 14:23 
А где посмотреть какие именно версии gnupg подвержены этим уязвимости?
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (22), 28-Дек-25, 14:03 
> в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла

О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Фнон (-), 28-Дек-25, 14:09 
Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?
Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!"
Правдо в подобных проектах обычно warning'и выключают.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –3 +/
Сообщение от Аноним (5), 28-Дек-25, 14:16 
Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.

Ответить | Правка | Наверх | Cообщить модератору

163. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Прохожий (??), 29-Дек-25, 01:45 
Языков с итераторами нет? Да вы тот ещё эксперд.
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (44), 28-Дек-25, 14:48 
> Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?

А у скрипача должна быть скрипка, не позволяющая плохо играть?))

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

48. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Бжежко (ok), 28-Дек-25, 14:56 
Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:05 
Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от RM (ok), 28-Дек-25, 17:06 
> Но и оставшийся процент сможет нафакапить?
> Therac-25 передает привет)

справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

> Я уже молчу про менее смертельные, но неприятные ошибки, типа 1к пострадавших почтальонов (включая тюремные сроки) у Бриташек, которым [зря тут был эпитет] из Fujitsu написали овнокод.

я так понял там честь красного мундира дефектифные манагеры до последнего защищали

из свежего - пишут 7 не пережили ошибки https://sfconservancy.org/blog/2025/dec/23/seven-abbott-free.../
там статья в очень своеобразном стиле, но похоже датчик нормальный, а вот прилАжение на мабилу навайбыкодили

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 22:40 
>> Но и оставшийся процент сможет нафакапить?
> справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

Вот да.
Не нафакапить кмк может только тот, кто ничего не делает.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +4 +/
Сообщение от Аноним (5), 28-Дек-25, 15:07 
Может. Запорит концерт. Особенно если много раз сфальшивит. Потеряет репутацию свою и оркестра и никто не пригласит из на настроили и не даст денег и оркестр будет есть сухари. И да скрипач может быть засланным казачком из другого оркестра.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

65. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Анонимусс (-), 28-Дек-25, 15:25 
> А у скрипача должна быть скрипка, не позволяющая плохо играть?))

У скрипача должна быть скрипка, а не табуретка к которой прифигачили несколько кусков медного провода.
Так и тут - у разработчика должен быть инструмент, а не древнее овно мамонта.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

99. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (44), 28-Дек-25, 16:44 
> а не древнее овно мамонта

Т.е. скрипка, которая не претерпела изменений со времён средневековья, по-твоему «овно мамонта». Ок, понял.

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Анонимусс (?), 28-Дек-25, 16:56 
> одно из самых ранних изображений скрипки (трёхструнной, по форме далёкой от классической)
> в итальянской живописи — картина Гауденцио Феррари «Мадонна апельсиновых деревьев» (1529)

Это уже не средние века, а Позднее Возрождение. Так что мимо.
Но сишечка это даже не проскрипка. Это какая-то палка-копалка.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (44), 28-Дек-25, 17:07 
> Это какая-то палка-копалка

Ну конечно, рассказывай…)

Ответить | Правка | Наверх | Cообщить модератору

164. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Прохожий (??), 29-Дек-25, 01:52 
У скрипача как минимум должна быть скрипка, которая правильно настроена. В идеале и звучать должна хорошо.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

92. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Аноним (44), 28-Дек-25, 16:17 
> в нормальном языке

Язык нормальный, просто плохому танцору вечно что-то мешает… И данный CVE это наглядно демонстрирует - язык тут вообще не при чём. Если уж компилятор должен такой «детский сад, штаны на лямках» фиксить, то это будет компилятор для дебилов.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

125. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (122), 28-Дек-25, 19:34 
То есть в продовом проекте который стоит на 90% серверов в мире детская "случайная" ошибка. Веры в это ровно нуль.
Ответить | Правка | Наверх | Cообщить модератору

165. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Прохожий (??), 29-Дек-25, 01:55 
>Язык нормальный, просто плохому танцору вечно что-то мешает

И так со всеми сколь-либо сложными проектами на этом языке. Постоянно танцоры плохие попадаются, просто проклятье какое-то. Может, пора что-то в консерватории менять? (c)

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

177. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (44), 29-Дек-25, 10:25 
Doom - сложный проект на «этом языке», что там не так?
Ответить | Правка | Наверх | Cообщить модератору

191. Скрыто модератором  +/
Сообщение от Аноним (5), 29-Дек-25, 14:06 
Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 16:19 
Зачем так делать — понятно: надо перебирать символы, переменное число которых кодирует один байт. Но забывать про проверку на выход за границы при этом, конечно, нельзя.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

95. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (44), 28-Дек-25, 16:23 
Всё-равно никогда не надо изменять переменную одновременно в объявлении и в теле цикла, это бред.
Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 20:47 
А какая разница? Оба способа равноценны.
Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (130), 28-Дек-25, 20:30 
Открой коммит и посмотри на этот код. Там буквально две строчки, мапящие буквы из одного буфера в другой, и он там лежал с 1999 года. Просто никто код не рефакторил, а точнее не имел возможности рефакторнуть не форкая проект, потому что в GNU свои патчи хрен отправишь.
Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

193. Скрыто модератором  +/
Сообщение от Аноним (5), 29-Дек-25, 14:11 
Ответить | Правка | Наверх | Cообщить модератору

178. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (-), 29-Дек-25, 10:37 
> О Боже, это же классика индусского кода, зачем так делать…

Ты никогда не найдёшь ответ на этот вопрос, потому что он неправильно поставлен. Спрашивать надо не "зачем", а "почему". Почему там так написано? На этот вопрос есть очень простой ответ: кто-то написал цикл while, а потом решил отрефакторить его в for. И если ты глянешь в код, ты найдёшь там подтверждения этой гипотезы. Вместо того, чтобы сделать memcpy а следом за ним что-то типа iobuf_read, там n инициализируется нулём единожды, а потом пробегает по всем байтам, через два цикла. Поэтому for'ы не инициализируют n, и очень вероятно что это исходно было написано на while'ах, а потом кому-то пришла в голову мысль, что for будет уместнее.

Можно предположить и более конкретный сценарий, автор сего кода написал первый цикл while'ом, а второй цикл из него вышел for'ом, и ему пришло в голову, что и из первого цикла можно сделать for, для единообразия.

Как бы там не было, при замене while на for не удалось заменить всё правильно.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

29. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +7 +/
Сообщение от Аноним (5), 28-Дек-25, 14:14 
И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –4 +/
Сообщение от Аноним (32), 28-Дек-25, 14:20 
Вы пострадали от
> И это не просто ошибка в калькуляторе

?

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +6 +/
Сообщение от Аноним (5), 28-Дек-25, 14:21 
Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (35), 28-Дек-25, 14:36 
Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

43. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (43), 28-Дек-25, 14:46 
Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:04 
Как говорится не дайте себя обмануть в другом месте.
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (35), 28-Дек-25, 15:05 
Я имею в ввиду его нытьё по поводу недостаточного признания, вечные попытки уничижать гпл, и болтология на тему прямолинейности Столлмана. Всё это позволяет составить достаточно целостную картину.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

94. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:21 
> Все мы помним

All generalizations are false.
Просвети.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

37. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (23), 28-Дек-25, 14:39 
У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

36. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от Аноним (43), 28-Дек-25, 14:37 
1. там в анонсе ещё секвоя была заявлена:

>When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*.

2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/...

Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:02 
(2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 16:24 
Мне.
Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (157), 29-Дек-25, 00:38 
И мне тоже.
Ответить | Правка | Наверх | Cообщить модератору

179. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (-), 29-Дек-25, 10:42 
> (2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?

У тебя противоречие заложено. Если полтора желающих поиграться с бирюлькой, то бирюлька не модная.

И я присоединюсь к анонимам выше. Я с огромным интересом загляну внутрь. На расте под голое железо писать очень интересно, гораздо интереснее чем на C или asm, и микроос которую я (согласно тем маркетинговым материалам) могу полностью аудитить самостоятельно выглядит очень вкусно.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

190. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 29-Дек-25, 11:59 
Нет там противоречия. Есть отдельные модники, которые готовы тащить в рот всё, что заблестело, даже если это осколок от бутылки. Потом подрастают, набивают шишек - перестают.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (43), 28-Дек-25, 14:41 
>Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера

Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +4 +/
Сообщение от Аноним (38), 28-Дек-25, 14:43 
>обрезка данных по границе 20000 символов при вычислении хэша

Закладки так не делают. Такое можно сделать только по исключительной тупости.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (46), 28-Дек-25, 14:50 
Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (38), 28-Дек-25, 15:30 
>Закладки именно так делают.

Почитай разбор про выбор параметров таблиц замен в алгоритмах Стрибог и Кузнечик. Лучшие мировые криптоаналитики бились, но *доказать* неслучайность так и не смогли. В итоге предали анафеме исключительно на основе «highly likely» (часовню тоже я)

Вот как делают закладки.

Ответить | Правка | Наверх | Cообщить модератору

161. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (161), 29-Дек-25, 01:17 
С чего ты взял, что бились над этими никому не нужными (для практического использования) криптосистемами? Тут же принцип "у меня в рукаве ничего нет", когда он не соблюдается - это повод просто выкинуть даже не разбираясь.
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:02 
Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

62. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (60), 28-Дек-25, 15:19 
Какие доказательства есть что это закладка а не человеческая ошибка?
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от localhostadmin (ok), 28-Дек-25, 14:44 
Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Фнон (?), 28-Дек-25, 15:15 
Как можно не понимать такие простые вещи??
systemd делалось по заказу корпораций для угнетения админов,
а gpg пишут мальчики-зайчики из проекта ГНУ!
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (5), 28-Дек-25, 15:41 
Кто финансирует зайчиков? Кто у них тимлид, начальник, к т отдаёт им приказы, кто контролирует? Кто контролирует тех кто контролирует?
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от онанист (?), 28-Дек-25, 15:51 
никто
базар же
Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (84), 28-Дек-25, 16:06 
А я думал сова. Или китайцы или американцы или северные корейцы. Или все вместе взятые, но разных разрабов.
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Фнон (-), 28-Дек-25, 16:53 
Так никто не контролирует.
Просто собрались васяны, устроили базар, пишут как могут и когда могут.
Никакой ответственности.
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

127. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (122), 28-Дек-25, 19:38 
То есть ты не думаешь что в этот базар волосатая рука рынка может занести за любое нужное ей изменение и дополнение в коде?
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:34 
Подкину тебе ещё один повод для паранойи: а не является ли целью сей акции повсеместное пропихивание sequoia вместо gpg?
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

107. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от localhostadmin (ok), 28-Дек-25, 17:17 
Лично я просто стараюсь избегать использования pgp вцелом
Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 20:36 
Лучше вообще криптографию избегать. Тогда точно не взломают.
Ответить | Правка | Наверх | Cообщить модератору

159. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от localhostadmin (ok), 29-Дек-25, 01:02 
Раскрою тебе секрет, пгп это не единственный способ шифровать и подписывать файлы
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:01 
Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
Ответить | Правка | Наверх | Cообщить модератору

174. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 29-Дек-25, 07:45 
Просто прокатило и всё.
Ответить | Правка | Наверх | Cообщить модератору

189. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (185), 29-Дек-25, 11:50 
20000 должно было хватить всем.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

70. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (70), 28-Дек-25, 15:31 
Во-первых, на сайте я вижу 14 пунктов а не 12. Во-вторых, вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"
: https://openwall.com/lists/oss-security/2025/12/28/5
Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 21:55 
Всё правильно, 12 в GnuPG и 2 в minisign.

> вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"

Перечитал три раза, не нашёл таких слов. Там написано буквально: это давно известная проблема, для обхода которой при автоматическом разборе есть опция.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от robot228email (?), 28-Дек-25, 16:12 
Что вместо GnuPG использовать? Секвою какую-то рекомендовали кажись?
Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от morphe (?), 28-Дек-25, 21:25 
Sequoia не имеет каких-то алгоритмов, но в целом полностью заменяет gpg.

При этом набор алгоритмов там значительно меняется просто при смене бекенда, их там несколько, например nettle (привязка к смешной библиотеке) и rust-crypto (криптография через Rust библиотеки). Одновременно оба использовать нельзя.

Ответить | Правка | Наверх | Cообщить модератору

152. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (152), 28-Дек-25, 22:27 
В расте всегда можно словить малварь на уровне llvm. И ты его никогда не вычислишь.
Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от morphe (?), 28-Дек-25, 23:28 
> В расте всегда можно словить малварь на уровне llvm. И ты его
> никогда не вычислишь.

Т.е теоретическая малварь в опенсорс компиляторе, при том что даже PoC подобной штуки (компилятор внедряющий закладку в компилируемый код) очень сложно делается, для тебя страшнее чем реально существующие уязвимости что встречаются каждый день, которые позволяют вытаскивать из процесса произвольные данные, и которые невозможно поймать до начала их активной эксплуатации всеми подряд?

Чтож, поздравляю, клоун. Скажи ещё каким это боком gcc более безопасный чем llvm.

Ответить | Правка | Наверх | Cообщить модератору

181. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 29-Дек-25, 10:46 
Типа есть два ведра с дырой у нужно оценить форму дыры?
Ответить | Правка | Наверх | Cообщить модератору

192. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 29-Дек-25, 14:10 
А в сишке всегда можно словить малварь на уровне gcc. Дальше что?
Ответить | Правка | К родителю #152 | Наверх | Cообщить модератору

186. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (186), 29-Дек-25, 11:37 
S/MIME использовать можно. Поддерживается многими клиентами.
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

109. Скрыто модератором  –1 +/
Сообщение от Скотобаза (?), 28-Дек-25, 17:24 
Ответить | Правка | Наверх | Cообщить модератору

129. Скрыто модератором  +/
Сообщение от Аноним (122), 28-Дек-25, 19:39 
Ответить | Правка | Наверх | Cообщить модератору

150. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Котик Биба (?), 28-Дек-25, 22:14 
> Ошибка ... приводящая к записи в область памяти вне границы буфера. Проблема может привести к выполнению кода

Эх, вот бы был язык, который не давал выходить за границы буферов)))

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (152), 28-Дек-25, 22:26 
И чтобы произошло? Он бы жрал как не в себя чтобы на каждый чих проверять весь мир?
Ответить | Правка | Наверх | Cообщить модератору

160. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от localhostadmin (ok), 29-Дек-25, 01:06 
Согласен, всем пора переходить на питон
Ответить | Правка | К родителю #150 | Наверх | Cообщить модератору

175. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Котик Биба (?), 29-Дек-25, 07:59 
Как вариант!
Ответить | Правка | Наверх | Cообщить модератору

166. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от 12yoexpert (ok), 29-Дек-25, 02:22 
в плюсах есть безопасная работа с памятью/массивами, больше вроде нигде нет
Ответить | Правка | К родителю #150 | Наверх | Cообщить модератору

183. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (-), 29-Дек-25, 10:48 
Нету. Ошибки выхода за границы в C++ распространены не меньше, чем в C. С++ создаёт видимость безопасности, но его operator[] не проверяет на выход за границы массива, на самом деле. Тебе надо отказаться от [] для индексирования, и вызывать какие-то методы, чтобы получить проверки. Этого, естественно, _никто_ не делает, потому что читаемость кода важнее. И я с ними соглашусь.
Ответить | Правка | Наверх | Cообщить модератору

188. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от 12yoexpert (ok), 29-Дек-25, 11:47 
> Нету

есть

> Ошибки выхода за границы в C++ распространены не меньше, чем в C

как это связано с тем, что я написал?

дальше не читал, у тебя явно какие-то когнитивные проблемы: сам себе что-то сочинил - сам себе ответил

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (154), 28-Дек-25, 23:17 
И какой вывод из этого? 🤔
Ответить | Правка | Наверх | Cообщить модератору

182. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (5), 29-Дек-25, 10:47 
Вывод что теперь то уж тооооочно безопасно 146% пользуйтесь везде где можно. Опасности нет всё под контролем, расходимся тут не на что смотреть. Не задавайте лишних вопросов и не устраивает панику.
Ответить | Правка | Наверх | Cообщить модератору

184. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Фнон (-), 29-Дек-25, 10:58 
Вывод?
Возможно, что GnuPG просто овно.
Которое писали ногами и ошибки там живут с 1991 года.

Причем исправляет их сам автор - или ему пофиг на качество, или он уже десятки лет работает бекдорщиком.
Что из этого лучше решай сам))

Ответить | Правка | К родителю #154 | Наверх | Cообщить модератору

156. Скрыто модератором  +/
Сообщение от svpcom (ok), 28-Дек-25, 23:59 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру