URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 136912
[ Назад ]
Исходное сообщение
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти верификацию сообщений"
Отправлено opennews , 21-Май-25 12:43 
В библиотеке OpenPGP.js выявлена уязвимость (CVE-2025-47934), позволяющая злоумышленнику отправить модифицированное сообщение, которое будет воспринято получателем как верифицированное (функции openpgp.verify и openpgp.decrypt вернут признак успешной проверки цифровой подписи, несмотря на то, что содержимое заменено и отличается от данных, для которых создавалась подпись). Уязвимость устранена в выпусках OpenPGP.js 5.11.3 и 6.1.1. Проблема проявляется только в ветках OpenPGP.js 5.x и 6.x, и не затрагивает OpenPGP.js 4.x...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63278

Содержание
Сообщения в этом обсуждении
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Аноним , 21-Май-25 12:43 
Красивое...
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Смузихлеб забывший пароль , 21-Май-25 12:53 
Что-то подобное было в реализациях JWT в своё время
Получается, системой выдавался jwt-ключ, содержащий открытый ключ асимметричного шифрования
Достаточно было в полученном jwt-ключе поменять тип на симметричный, проставить туда тот же открытый ключ, им же "подписать" и... всё норм. Меняй параметры ключа как хочешь - заходи под любым пользователем с любыми правами итд итп
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Аноним , 21-Май-25 13:13 
Протонмайл спалился
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Аноним , 21-Май-25 19:21 
Я с самого начало этому протону не доверял. Мутная контора какая-то.
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Сосиска в кармане , 21-Май-25 14:37 
Зашёл я в код посмотреть, а там ужас что на***верчено. Даже по сообщению коммита `Don't mutate message during verification` видно квалификацию.
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Аноним , 21-Май-25 16:17 
Интересно, смотрели ли, кто это коммитил, когда и, главное, не упало ли ему на счет большая сумма денег.
Пример ХЗ показал, что опесорсные проекты супер уязвимы к внедрению васянов без имени и фамилии.
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Аноним , 21-Май-25 20:49 
Так и запишем: в безопасных системах структуры данных организованы в иерархические структуры, где если только одна запись имеет силу - то исключительно её можно поместить в родительскую структуру.


Пакетная структура OpenPGP - хлам. От неё пора избавляться.

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Аноним , 21-Май-25 23:15 
в пользу чего?
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено OpenEcho , 22-Май-25 11:33 
openssl, age?
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Кошкажена , 21-Май-25 22:43 
Зачем такое писать на жс не ясно, когда есть васм.
"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Карлос Сношайтилис , 22-Май-25 00:23 
Wasm не спасёт от мамкиных криптогрофов.

Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не сильно зависит от языка.

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено Кошкажена , 22-Май-25 00:25 
> Wasm не спасёт от мамкиных криптогрофов.
> Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не
> сильно зависит от языка.

Только взять готовую библиотеку лучше, чем реализовывать криптографию самому на жс.

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено OpenEcho , 22-Май-25 11:36 
> когда есть васм

WASM - есть **is not constant time = side channel attacks !**

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."
Отправлено OpenEcho , 22-Май-25 11:31 
Интерсно, а mailvelope тоже субж юзает?