URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138819
[ Назад ]
Исходное сообщение
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "
Отправлено opennews , 28-Дек-25 13:21 
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP  и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке  шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64517

Содержание
Сообщения в этом обсуждении
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Grand , 28-Дек-25 13:21 
RUST приди, порядок наведи !
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:48 
> RUST приди, порядок наведи !

Ему некогда. Там срочно проверяют код во всех обвязках, которые написали, после недавней CVE.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:25 
>Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены.

Еще не все, кто надо, воспользовались :)

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:29 
Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:28 
Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.      
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 13:36 
Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:38 
Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:39 
>Анб навязывает Раст

У DARPA получилось "навязать" Интернет всему миру.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:06 
Вместо mesh-сетей, у которых нет рубильника.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:44 
Каждый роутер даже в меш сети рассадник уязвимостей.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено penetrator , 28-Дек-25 18:19 
ой а чего это вы фидонет до сих пор не используете?

дураку понятно, что это рынок, скорость и охват все решил

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:13 
> Вместо mesh-сетей

Нежизнеспособная фигня.

> у которых нет рубильника.

Рубильник есть у всего. Если не физический, то в виде закона.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Смузихлеб забывший пароль , 28-Дек-25 19:27 
Ну отчасти да. Не факт, что конкретно им, но, в общем-то, да.
"Интернет" - это, по сути, подобие торговой марки совершенно конкретной сети.

А, в общем и целом, свои собственные сети были у многих, даже у франции была своя собственная( но в итоге прикрыли, заменив американским "интернетом" )

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:02 
Посмотрим, что это анб скажет на gccrs.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:48 
Вечно отстающая реализация языка, где требовать вчерашнюю ночнушку в продакшен норма.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:07 
В ядре самый свежий Rust не нужен.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:54 
Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 14:45 
Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:09 
Я тебя сейчас удивлю, готовься, набери воздуха в грудь. Все языки требуют предельной внимательности.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 15:44 
Очевидно, что не все. Языки с автоматическим управлением памятью не требуют предельной внимательности именно в этой части - за GC/RAII/счётчики ссылок значительную долю рутины берёт на себя рантайм или стандартные абстракции.

Из-за этого снижается когнитивная нагрузка, меньше нужно держать в голове жизненные циклы объектов, владение, корректность освобождения, риск use-after-free и double free. Высвобождённые ресурсы разработчик может направить на архитектуру, корректность бизнес-логики, тестирование, производительность на уровне алгоритмов итд

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено 12yoexpert , 28-Дек-25 17:45 
какая же у тебя помойка в голове

не хочешь у меня что-нибудь купить?

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено мелстрой , 28-Дек-25 18:45 
Я думаю можно твою мать выкупить, за бигмак согласен?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:41 
Можно… но нужно ли? Так-то _можно_ и на ассемблере писать.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено онанист , 28-Дек-25 15:49 
невозможно на си писать не выщывая проблем.

надо быть тока повнимательнее

зороший качественный

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:03 
Перепишут на Algol68.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:04 
Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:51 
Ну вам же как-то компилятор для раста написали.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:06 
Сложно — не значит не возможно. Все эти ошибки можно было бы отловить фаззингом. А часть — и статическим анализом. Но проект слишком стар, во время его появления таким не занимались. Почему до сих пор этого не сделали — большой вопрос, однако.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:39 
Просто на сях надо писать так, чтоб это был безопасный код - оборачивать почти все опасные и потенциально опасные операции структурами и функциями, которые будут гарантировать правильность данных. Но это муторно и некрасиво выходит, что в тех же крестах может скрыто в методах и прочих оверрайдах(если сделано).
Т.е. вместо простых:
struct T* a = malloc(...);
надо делать
struct T* a = new_T(...);
который будет и malloc/calloc, и проверку на выделение, и инициализацию. В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов, но такое даже в крестах ленятся делать. Итерации по указателям тупо делают p++, а не через спец функцию/метод next_, доступ к поинтеру тоже через функцию, доступ к элементу массива, тоже через функцию + не тупо malloc, а спец структура с ворохом функций, которые будут гарантировать выделение, размер и доступ. Да, это всё будет в результате жрать ресурсы, и программа будет работать +/- также медленно как и на всяких "безопасных" языках, но зато такой код будет сложно сломать логически ошибившись. А простой и прямой доступ оставлять только там где нужна явная производительность, и достаточно легко отследить что всё будет хорошо.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:20 
> не отвечает требованиям современных вызовов

Неправильно, в Си отсутствует наличие соответствия нормам концептуальных требований современных вызовов дорожной карты устойчивого развития.

А так-то да, если бы он постепенно превращался в D, ничего бы не было (а не "добавим VLA, уберём VLA; добавим Annex K, забудем Annex K; ой всё, мы уже целых 2 раза пытались язык улучшать, ни вышла").

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено penetrator , 28-Дек-25 18:21 
учитывая культуру производства, там все равно какой язык, грабли - гарантированы, и чуть большая сложность си не так уж важна
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:07 
Но даже в системных языках надо сложность убирать под ковёр, чтобы без ошибок большие проекты писать.

Отсюда деструкторы в Rust. Массивы, которые не забывают свой размер (= толстые указатели = слайсы, которые были в D и распиарились в Go).

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:37 
Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:39 
Просто назови автора коммита. Выйди из комнаты и соверши ошибку.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:49 
Так просто все. Иди на гит этого проекта и посмотри кто писал, кто одобрил. Все открыто же
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:08 
Вот видишь у тебя а голове стоит блок на мыслепреступление. Ты не имеешь права сомневаться в большом брате.  
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено анонимно2 , 28-Дек-25 14:14 
Какой блок, если подробностей нет то и не известно где в коде проблемы. Будут опубликованы исправления можно будет смотреть чьи ошибки.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:20 
Отмазы для бедных. Просто никому невыгодно раскрывать крота. И нельзя чтобы пролы начинали задавать вопросы.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Смузихлеб забывший пароль , 28-Дек-25 19:31 
Дык ведь палились уже "исследователи" с какого-то универа, которые целенаправленно в код опенсорсных проектов добавляли неявные дыры в рамках своих "экспериментов"

Только те это делали слишком палевно и неумело - вот и попались. И то, далеко не сразу

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:10 
А чего ты от других этого требуешь? Сам и назови, раз утверждаешь, что это один человек. И коммиты указать не забудь. Опровергать твои домыслы никто не обязан, бремя доказательства лежит на обвиняющем.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:29 
Тоже боишься. Может тебе справку дали в министерстве правды, что полностью безопасно?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:57 
>залатность

Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 13:44 
>серьёзные люди его попросили чуть-чуть ошибиться

Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:09 
Это тебе по телевизору сказали? Откуда ты взял это число?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено 12yoexpert , 28-Дек-25 15:25 
ты реально думаешь, что вяленый, пулса, раст, телеграм, gimp и cloudflare, - это всё дурость, а не целенаправленный саботаж?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:31 
> за пределы буфера записывается лишний байт

Опять сишникам в штаны кто-то другой наложил?..

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 15:49 
> это всё дурость, а не целенаправленный саботаж

Можешь это доказать?

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено 12yoexpert , 28-Дек-25 16:10 
то, что ты так думаешь? да, могу, у тебя на лбу написано
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено timur.davletshin , 28-Дек-25 14:52 
У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 20:11 
Одни и те же люди, с самого создания софта. Коммит, который сделал двойной инкремент, запатчил сам же автор, который эту ошибку допустил ещё в 1999 году:
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=commi...

Мб это дело всё же стоит форкнуть и переписать с нормальными стилем кода и названиями переменных.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:15 
А какие у вас будут доказательства что человек специально написал уязвимости?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 15:24 
Э... т.е человек чисто случайно не приходя в сознание написал код?
Который чисто случайно оказался овнокодищем?
И совершенно случайно и совсем не специально привел к уязвимости?
Звучит логично!
Особенно для #define MAX_LINELEN 20000
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:43 
То есть Jia Tan не виноват, а хакеров выдумали массоны?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:50 
/s Ну очевидно же что это ложный китайский след чтобы очернить некорпоративных разработчиков
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:30 
Раз ложный след значит просто ошибка? Понять и простить?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:14 
Дай угадаю: в твоём коде никогда не бывает ошибок, потому что ты за свою жизнь не написал ни строчки кода, достойной того, чтобы кто-то стал искать в нём ошибки?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:31 
В твоём мире розовых пони. Спецслужбы спят и видят как бы тебе нанести добро.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Смузихлеб забывший пароль , 28-Дек-25 19:38 
Итак, вызывают руководителя конторы хмурые дядьки, имеющие дело с "нац. безопасностью сша" и спрашивают его - "Вот у нас тут несколько типов подозрительных ведут какие-то дела посредством вашего ПО всё это шифруют. Каким образом мы можем выяснить что там происходит ? Вы ведь не совсем идиот, чтобы предоставлять преступникам/террористам полностью защищённую от служб безопасности систему, лишённую каких-либо лазеек ? Или вы их, по сути, поддерживаете, предоставляя ПО, позволяющее обходить системы безопасности"

Западные конторы западным же спец. службам и не так ж*пы подставляют без лишнего шума и вопросов, причём, регулярно и, порой, даже без требования - в "рамках жеста доброй воли" так сказать. Ну а другие - долго там не работают

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним на удаленке , 28-Дек-25 13:33 
"Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"),"
И
"Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:32 
если что деды тесты не пишут
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:03 
> в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла

О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 14:09 
Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?
Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!"
Правдо в подобных проектах обычно warning'и выключают.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:16 
Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:48 
> Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?

А у скрипача должна быть скрипка, не позволяющая плохо играть?))

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Бжежко , 28-Дек-25 14:56 
Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:05 
Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:07 
Ты нам ещё торты теперь нам наэкстраполируй.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено RM , 28-Дек-25 17:06 
> Но и оставшийся процент сможет нафакапить?
> Therac-25 передает привет)

справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

> Я уже молчу про менее смертельные, но неприятные ошибки, типа 1к пострадавших почтальонов (включая тюремные сроки) у Бриташек, которым [зря тут был эпитет] из Fujitsu написали овнокод.

я так понял там честь красного мундира дефектифные манагеры до последнего защищали

из свежего - пишут 7 не пережили ошибки https://sfconservancy.org/blog/2025/dec/23/seven-abbott-free.../
там статья в очень своеобразном стиле, но похоже датчик нормальный, а вот прилАжение на мабилу навайбыкодили

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:07 
Может. Запорит концерт. Особенно если много раз сфальшивит. Потеряет репутацию свою и оркестра и никто не пригласит из на настроили и не даст денег и оркестр будет есть сухари. И да скрипач может быть засланным казачком из другого оркестра.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Анонимусс , 28-Дек-25 15:25 
> А у скрипача должна быть скрипка, не позволяющая плохо играть?))

У скрипача должна быть скрипка, а не табуретка к которой прифигачили несколько кусков медного провода.
Так и тут - у разработчика должен быть инструмент, а не древнее овно мамонта.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:44 
> а не древнее овно мамонта

Т.е. скрипка, которая не претерпела изменений со времён средневековья, по-твоему «овно мамонта». Ок, понял.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Анонимусс , 28-Дек-25 16:56 
> одно из самых ранних изображений скрипки (трёхструнной, по форме далёкой от классической)
> в итальянской живописи — картина Гауденцио Феррари «Мадонна апельсиновых деревьев» (1529)

Это уже не средние века, а Позднее Возрождение. Так что мимо.
Но сишечка это даже не проскрипка. Это какая-то палка-копалка.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 17:07 
> Это какая-то палка-копалка

Ну конечно, рассказывай…)

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:17 
> в нормальном языке

Язык нормальный, просто плохому танцору вечно что-то мешает… И данный CVE это наглядно демонстрирует - язык тут вообще не при чём. Если уж компилятор должен такой «детский сад, штаны на лямках» фиксить, то это будет компилятор для дебилов.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:34 
То есть в продовом проекте который стоит на 90% серверов в мире детская "случайная" ошибка. Веры в это ровно нуль.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:19 
Зачем так делать — понятно: надо перебирать символы, переменное число которых кодирует один байт. Но забывать про проверку на выход за границы при этом, конечно, нельзя.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:23 
Всё-равно никогда не надо изменять переменную одновременно в объявлении и в теле цикла, это бред.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:07 
> 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GNU Privacy Guard

И как всегда прекрасное качество от проекта GNU!
Они успешно гардят (или гадять), ой, т.е. бдят за вашей прайваси!

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:14 
И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:20 
Вы пострадали от
> И это не просто ошибка в калькуляторе

?

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:21 
Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:36 
Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:46 
Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:04 
Как говорится не дайте себя обмануть в другом месте.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:05 
Я имею в ввиду его нытьё по поводу недостаточного признания, вечные попытки уничижать гпл, и болтология на тему прямолинейности Столлмана. Всё это позволяет составить достаточно целостную картину.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:21 
> Все мы помним

All generalizations are false.
Просвети.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:39 
У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:37 
1. там в анонсе ещё секвоя была заявлена:

>When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*.

2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/...

Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:02 
(2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено 12yoexpert , 28-Дек-25 15:29 
никому
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:24 
Мне.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:41 
>Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера

Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:43 
>обрезка данных по границе 20000 символов при вычислении хэша

Закладки так не делают. Такое можно сделать только по исключительной тупости.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 14:50 
Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:30 
>Закладки именно так делают.

Почитай разбор про выбор параметров таблиц замен в алгоритмах Стрибог и Кузнечик. Лучшие мировые криптоаналитики бились, но *доказать* неслучайность так и не смогли. В итоге предали анафеме исключительно на основе «highly likely» (часовню тоже я)

Вот как делают закладки.

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:02 
Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:19 
Какие доказательства есть что это закладка а не человеческая ошибка?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:42 
Какие доказательства есть что это человеческая ошибка а не закладка?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:28 
Ei incumbit probatio qui dicit, non qui negat; negantis nulla probatio est.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено localhostadmin , 28-Дек-25 14:44 
Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 15:15 
Как можно не понимать такие простые вещи??
systemd делалось по заказу корпораций для угнетения админов,
а gpg пишут мальчики-зайчики из проекта ГНУ!
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:41 
Кто финансирует зайчиков? Кто у них тимлид, начальник, к т отдаёт им приказы, кто контролирует? Кто контролирует тех кто контролирует?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено онанист , 28-Дек-25 15:51 
никто
базар же
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:06 
А я думал сова. Или китайцы или американцы или северные корейцы. Или все вместе взятые, но разных разрабов.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Фнон , 28-Дек-25 16:53 
Так никто не контролирует.
Просто собрались васяны, устроили базар, пишут как могут и когда могут.
Никакой ответственности.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:38 
То есть ты не думаешь что в этот базар волосатая рука рынка может занести за любое нужное ей изменение и дополнение в коде?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 16:34 
Подкину тебе ещё один повод для паранойи: а не является ли целью сей акции повсеместное пропихивание sequoia вместо gpg?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено localhostadmin , 28-Дек-25 17:17 
Лично я просто стараюсь избегать использования pgp вцелом
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Tron is Whistling , 28-Дек-25 15:01 
Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 15:31 
Во-первых, на сайте я вижу 14 пунктов а не 12. Во-вторых, вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"
: https://openwall.com/lists/oss-security/2025/12/28/5
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено онанист , 28-Дек-25 15:50 
а что вы хотели без сертификата фстек?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 18:14 
Дабляtь.
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено robot228 , 28-Дек-25 16:12 
Что вместо GnuPG использовать? Секвою какую-то рекомендовали кажись?
"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Скотобаза , 28-Дек-25 17:24 
Тут буквально каждая дыра выглядит как полноценный бэкдор. И только одна чисто сишная и то сделанная дебилами.

А то что дыры есть везде это прямо ололо. Сколько линуксов уже протроянили црушники

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."
Отправлено Аноним , 28-Дек-25 19:39 
> Тут буквально каждая дыра выглядит как полноценный бэкдор. И только одна чисто
> сишная и то сделанная дебилами.
> А то что дыры есть везде это прямо ололо. Сколько линуксов уже
> протроянили црушники

Да раз дыры везде можно их и не контролировать. Они же везде.