URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 121737
[ Назад ]
Исходное сообщение
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено opennews , 03-Сен-20 23:06 
Опубликован  релиз инструментария  GnuPG 2.2.23 (GNU Privacy Guard), совместимого со стандартами  OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. В новой версии устранена критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21 и эксплуатируемая при импорте специально оформленного ключа OpenPGP...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53655

Содержание
Сообщения в этом обсуждении
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 03-Сен-20 23:06 
Давно пора GPG на Rust переписать, чтобы в нем уязвимостей больше не было.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 03-Сен-20 23:11 
Скорее, на Guile, это же проект GNU.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 03-Сен-20 23:14 
Я за Rust голосую, пускай на нем переписывают.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 03-Сен-20 23:19 
Думаю, https://www.gnu.org/ с тобой категрически не согласятся. Rust под неугодной лицензией.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 03-Сен-20 23:31 
Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать, просто переписав его на Rust.
Так пусть они уже наконец делом займутся и пойдут переписывать
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Michael Shigorin , 04-Сен-20 00:47 
> Мне неинтересны
> Так пусть они уже

Так, не понял, чё за базар?
А ну сел на ассемблере переписывать.
БЫСТРО!

PS: для встревожившихся: непонятно, что ли, что тот молодой организм требует кружевные трусики, причём с доставкой?..
PPS re #42: *sigh*

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено kusb , 06-Сен-20 21:12 
Хочу быть девочкой и кружевные трусики.

Но на ассемблере небезопасно же наверное, можно очень интересные дыры себе устроить. С другой стороны полный контроль над оборудованием и никаких лишних компиляторов может дать безопасный результат, где проблемы решаются на низком уровне.
Но всё равно скорее не верю в то, что средняя насписанная на асме программа стабильнее сишной.

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 01:25 
> Мне неинтересны лицензии, мне нужен GPG без уязвимостей. Проще всего это сделать,
> просто переписав его на Rust.
>  Так пусть они уже наконец делом займутся и пойдут переписывать

Тащемто GPG это именно GnuPG, проект GNU, если лицензия и правда им не нравится, то они НИКОГДА на Rust не перепишут, разве что Rust сменит лицензию, на столманоугодную, никак иначе!

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 19:08 
А что не так с лицензиями, вроде как Apache и MIT
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 03-Сен-20 23:49 
Там вроде автор постоянно ноет, как ему не нравится ГНУ, ГПЛ, и лично Столлман. Пусть идёт переписывает заново.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Мамин Аноним , 03-Сен-20 23:59 
Уже переписали, аж два раза:

https://github.com/rpgp/rpgp

https://gitlab.com/sequoia-pgp/sequoia

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 15:36 
А я думал, что они только переписали утилиту ls.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Michael Shigorin , 04-Сен-20 00:49 
Гм, так вот почему у нас выше 2.2.19 не обновляли пока...
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 04:08 
В MS DOS этой уязвимости тоже нет. Как в воду глядели!
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено h65eyh5 , 04-Сен-20 13:32 
В P9 версия 2.2.17. Есть уязвимость и для неё: https://nvd.nist.gov/vuln/detail/CVE-2019-14855
Интересно, у вас просто старая версия, пропатчили как-то или уязвимость не существенная?
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 19:52 
Занятно, в дебиане не исправили: https://security-tracker.debian.org/tracker/CVE-2019-14855
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 04:10 
Обновил.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 04:36 
Продолжай держать в курсе.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Иваня , 04-Сен-20 06:45 
> Privacy Guard
> критическая уязвимость

🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️🤦‍♂️

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 07:45 
И все заценили твои квадраты.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Иваня , 04-Сен-20 08:26 
Это же emoji, ну вот держи специально для тебя в ASCII facepalm.jpg
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено RomanCh , 04-Сен-20 11:52 
Нет, думаю правильнее так:

| <°
|   |\
|  / \

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 09:12 
Айпыня, залогинься
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 13:12 
всплывало такое
https://dev.gnupg.org/T4727
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено OpenEcho , 04-Сен-20 14:00 
Категорическй отказ автора прекратить требовать использования агента висящего в памяти с сохраненными секретами (на серверах то, где всего-то надо зашифровать/подписать и отвалить) толкает свалить на довольно простые и популярные аналоги:

Crypt: https://github.com/FiloSottile/age
Sign: https://github.com/chm-diederichs/minisign

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 16:01 
Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr почаще.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено OpenEcho , 05-Сен-20 00:15 
> Теоретически это удобно и нужно, но практически вызывай gpgconf --kill gpg-agent dirmngr
> почаще.

Зачем вызывать то, что потеряло доверие...
Как только мордакнига стала спонсором гпг, так сразу начались странные сюрпризы...

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 18:05 
У мене вообще 2.2.12
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 19:26 
У меня вообще 1.4.16, но у меня хотя бы есть причины. А у тебя просто шерето.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Сейд , 04-Сен-20 20:50 
Какие причины?
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 04-Сен-20 21:06 
Он без pinentry? Меньше зависимостей и линкуется статически, можно положить в образ ядра.
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 05-Сен-20 12:29 
Это не у меня
Репы дебиана 10
"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 05-Сен-20 17:09 
> критическая уязвимость (CVE-2020-25125), проявляющаяся начиная с версии 2.2.21

https://www.opennet.dev/openforum/vsluhforumID3/117882.html#4

Не обновляют с самопропатченой 2.2.16

"Обновление GnuPG 2.2.23 с устранением критической уязвимости"
Отправлено Аноним , 05-Сен-20 17:11 
s/обновляют/обновлялся/