The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "  +/
Сообщение от opennews (?), 28-Дек-25, 13:21 
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP  и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке  шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=64517

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (2), 28-Дек-25, 13:25 
>Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены.

Еще не все, кто надо, воспользовались :)

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +9 +/
Сообщение от Аноним (5), 28-Дек-25, 13:29 
Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
Ответить | Правка | Наверх | Cообщить модератору

135. Скрыто модератором  –1 +/
Сообщение от Аноним (135), 28-Дек-25, 20:34 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +5 +/
Сообщение от Аноним (5), 28-Дек-25, 13:28 
Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.      
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –4 +/
Сообщение от Бжежко (ok), 28-Дек-25, 13:36 
Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +9 +/
Сообщение от Аноним (5), 28-Дек-25, 13:38 
Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (38), 28-Дек-25, 14:39 
>Анб навязывает Раст

У DARPA получилось "навязать" Интернет всему миру.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +8 +/
Сообщение от Аноним (56), 28-Дек-25, 15:06 
Вместо mesh-сетей, у которых нет рубильника.
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (5), 28-Дек-25, 15:44 
Каждый роутер даже в меш сети рассадник уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (138), 28-Дек-25, 20:41 
Не понял тут имеется меш сеть типа Yggdrasil? Они же распространены, и уязвимости 1 компьютер из миллиона не в счет
Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от penetrator (?), 28-Дек-25, 18:19 
ой а чего это вы фидонет до сих пор не используете?

дураку понятно, что это рынок, скорость и охват все решил

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

119. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (-), 28-Дек-25, 19:13 
> Вместо mesh-сетей

Нежизнеспособная фигня.

> у которых нет рубильника.

Рубильник есть у всего. Если не физический, то в виде закона.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

132. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (132), 28-Дек-25, 20:20 
> Рубильник есть у всего. Если не физический, то в виде закона.

Мало принять закон, нужно добиться его исполнения. Попробуй запретить людям дышать - запрещалку надорвёшь. К тому же, у закона есть условия применения и порядок исполнения.
А вот замечательный Интернет запрещается, замедляется и ограничивается по щелчку пальцев, безо всякого закона, по произволу узкого круга лиц.

Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (139), 28-Дек-25, 20:44 
Когда на это требуется 3-5 лет работы десятков тысяч людей, совершенно не честно называть это «по щелчку пальцев».
А сломать можно всё. Без исключений. Если есть решимость и ресурсы на это — то будет сломано.

Уверен, если бы интернет изобрели на 20 лет позже, ни о какой анонимности в нём речи бы не было. Каждый байт имел бы «изготовил-по заданию-проверил-выпустил».

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (146), 28-Дек-25, 21:24 
> Попробуй запретить людям дышать

С этим нет проблем, разве что постепенность требуется (нельзя запрещать всем сразу), но с интернетом ровно то же самое.
https://en.wikipedia.org/wiki/Gas_chamber

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

120. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:27 
Ну отчасти да. Не факт, что конкретно им, но, в общем-то, да.
"Интернет" - это, по сути, подобие торговой марки совершенно конкретной сети.

А, в общем и целом, свои собственные сети были у многих, даже у франции была своя собственная( но в итоге прикрыли, заменив американским "интернетом" )

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

104. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (104), 28-Дек-25, 17:02 
Посмотрим, что это анб скажет на gccrs.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

111. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (111), 28-Дек-25, 17:48 
Вечно отстающая реализация языка, где требовать вчерашнюю ночнушку в продакшен норма.
Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (104), 28-Дек-25, 19:07 
В ядре самый свежий Rust не нужен.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –4 +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:54 
Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

42. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Бжежко (ok), 28-Дек-25, 14:45 
Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:09 
Я тебя сейчас удивлю, готовься, набери воздуха в грудь. Все языки требуют предельной внимательности.
Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Бжежко (ok), 28-Дек-25, 15:44 
Очевидно, что не все. Языки с автоматическим управлением памятью не требуют предельной внимательности именно в этой части - за GC/RAII/счётчики ссылок значительную долю рутины берёт на себя рантайм или стандартные абстракции.

Из-за этого снижается когнитивная нагрузка, меньше нужно держать в голове жизненные циклы объектов, владение, корректность освобождения, риск use-after-free и double free. Высвобождённые ресурсы разработчик может направить на архитектуру, корректность бизнес-логики, тестирование, производительность на уровне алгоритмов итд

Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Буратино (?), 29-Дек-25, 00:52 
Ну так чем дружелюбнее язык, тем больше м@к@к в него придёт.
"Волшебных таблеток от всего" и "царского пути в математике" не бывает.

Язык примитивный и слабовыразительный - будут выходить за буфера и разыменовывать нули.
Язык высокоуровневый и выразительный - будут путаться в своих <s>мудях</s> абстракциях.
Примером те эпические дыры в десериализации Java и PHP, когда из снаружи пришедшего жсона десериализовывались объекты с разного рода активностями.
И тоже - эта хрень висела чёрти сколько незамеченной.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (72), 28-Дек-25, 15:41 
Можно… но нужно ли? Так-то _можно_ и на ассемблере писать.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

80. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от онанист (?), 28-Дек-25, 15:49 
невозможно на си писать не выщывая проблем.

надо быть тока повнимательнее

зороший качественный

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

140. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (139), 28-Дек-25, 20:46 
А?
Что?
Не слышно!
Повторите, ничего не понятно!
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (23), 28-Дек-25, 14:03 
Перепишут на Algol68.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

52. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:04 
Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

85. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:06 
Сложно — не значит не возможно. Все эти ошибки можно было бы отловить фаззингом. А часть — и статическим анализом. Но проект слишком стар, во время его появления таким не занимались. Почему до сих пор этого не сделали — большой вопрос, однако.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

128. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (128), 28-Дек-25, 19:39 
Просто на сях надо писать так, чтоб это был безопасный код - оборачивать почти все опасные и потенциально опасные операции структурами и функциями, которые будут гарантировать правильность данных. Но это муторно и некрасиво выходит, что в тех же крестах может скрыто в методах и прочих оверрайдах(если сделано).
Т.е. вместо простых:
struct T* a = malloc(...);
надо делать
struct T* a = new_T(...);
который будет и malloc/calloc, и проверку на выделение, и инициализацию. В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов, но такое даже в крестах ленятся делать. Итерации по указателям тупо делают p++, а не через спец функцию/метод next_, доступ к поинтеру тоже через функцию, доступ к элементу массива, тоже через функцию + не тупо malloc, а спец структура с ворохом функций, которые будут гарантировать выделение, размер и доступ. Да, это всё будет в результате жрать ресурсы, и программа будет работать +/- также медленно как и на всяких "безопасных" языках, но зато такой код будет сложно сломать логически ошибившись. А простой и прямой доступ оставлять только там где нужна явная производительность, и достаточно легко отследить что всё будет хорошо.
Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 21:00 
Ну и на фига это делать на C тогда?
Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (146), 28-Дек-25, 21:04 
> В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов

И название обновить. В честь острова там какого-нибудь или количество плюсов диезом обыграть.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

142. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (139), 28-Дек-25, 20:47 
Потому что само оно не делается, и делать это некому.
Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

108. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от Аноним (146), 28-Дек-25, 17:20 
> не отвечает требованиям современных вызовов

Неправильно, в Си отсутствует наличие соответствия нормам концептуальных требований современных вызовов дорожной карты устойчивого развития.

А так-то да, если бы он постепенно превращался в D, ничего бы не было (а не "добавим VLA, уберём VLA; добавим Annex K, забудем Annex K; ой всё, мы уже целых 2 раза пытались язык улучшать, ни вышла").

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

115. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от penetrator (?), 28-Дек-25, 18:21 
учитывая культуру производства, там все равно какой язык, грабли - гарантированы, и чуть большая сложность си не так уж важна
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

118. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (146), 28-Дек-25, 19:07 
Но даже в системных языках надо сложность убирать под ковёр, чтобы без ошибок большие проекты писать.

Отсюда деструкторы в Rust. Массивы, которые не забывают свой размер (= толстые указатели = слайсы, которые были в D и распиарились в Go).

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –3 +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:37 
Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

11. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +3 +/
Сообщение от Аноним (5), 28-Дек-25, 13:39 
Просто назови автора коммита. Выйди из комнаты и соверши ошибку.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:49 
Так просто все. Иди на гит этого проекта и посмотри кто писал, кто одобрил. Все открыто же
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 14:08 
Вот видишь у тебя а голове стоит блок на мыслепреступление. Ты не имеешь права сомневаться в большом брате.  
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от анонимно2 (?), 28-Дек-25, 14:14 
Какой блок, если подробностей нет то и не известно где в коде проблемы. Будут опубликованы исправления можно будет смотреть чьи ошибки.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 14:20 
Отмазы для бедных. Просто никому невыгодно раскрывать крота. И нельзя чтобы пролы начинали задавать вопросы.
Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:31 
Дык ведь палились уже "исследователи" с какого-то универа, которые целенаправленно в код опенсорсных проектов добавляли неявные дыры в рамках своих "экспериментов"

Только те это делали слишком палевно и неумело - вот и попались. И то, далеко не сразу

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

88. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 16:10 
А чего ты от других этого требуешь? Сам и назови, раз утверждаешь, что это один человек. И коммиты указать не забудь. Опровергать твои домыслы никто не обязан, бремя доказательства лежит на обвиняющем.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (18), 28-Дек-25, 13:57 
>залатность

Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (38), 28-Дек-25, 13:44 
>серьёзные люди его попросили чуть-чуть ошибиться

Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

64. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от 12yoexpert (ok), 28-Дек-25, 15:25 
ты реально думаешь, что вяленый, пулса, раст, телеграм, gimp и cloudflare, - это всё дурость, а не целенаправленный саботаж?
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Бжежко (ok), 28-Дек-25, 15:49 
> это всё дурость, а не целенаправленный саботаж

Можешь это доказать?

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от timur.davletshin (ok), 28-Дек-25, 14:52 
У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

130. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (130), 28-Дек-25, 20:11 
Одни и те же люди, с самого создания софта. Коммит, который сделал двойной инкремент, запатчил сам же автор, который эту ошибку допустил ещё в 1999 году:
https://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=commi...

Мб это дело всё же стоит форкнуть и переписать с нормальными стилем кода и названиями переменных.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (60), 28-Дек-25, 15:15 
А какие у вас будут доказательства что человек специально написал уязвимости?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

63. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Фнон (?), 28-Дек-25, 15:24 
Э... т.е человек чисто случайно не приходя в сознание написал код?
Который чисто случайно оказался овнокодищем?
И совершенно случайно и совсем не специально привел к уязвимости?
Звучит логично!
Особенно для #define MAX_LINELEN 20000
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:43 
То есть Jia Tan не виноват, а хакеров выдумали массоны?
Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (100), 28-Дек-25, 16:50 
/s Ну очевидно же что это ложный китайский след чтобы очернить некорпоративных разработчиков
Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (122), 28-Дек-25, 19:30 
Раз ложный след значит просто ошибка? Понять и простить?
Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:14 
Дай угадаю: в твоём коде никогда не бывает ошибок, потому что ты за свою жизнь не написал ни строчки кода, достойной того, чтобы кто-то стал искать в нём ошибки?
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

131. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (130), 28-Дек-25, 20:15 
Это остатки кода из 1999 года, когда в коммитах ещё встречаются рофлы вида

-#if 0
+#if 1

Так что да, там большая часть кода - это старый хлам, который рефакторнуть забыли, иначе всё сломают. Проекту больше программистов нужно, но коммитов кот наплакал, хотя очевидно заинтересованные в софте хакеры и пользователи существуют в огромном количестве.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

126. Скрыто модератором  –1 +/
Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:38 
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

6. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним на удаленкеemail (?), 28-Дек-25, 13:33 
"Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"),"
И
"Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (71), 28-Дек-25, 15:32 
если что деды тесты не пишут
Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (130), 28-Дек-25, 20:27 
Код с этой ошибкой прямиком из 1999 года, там ещё переключения через '-#if 0' '+#if 1' в коммитах попадаются вместо выпиливания неработающего кода. Если бы в GNU было полегче присылать коммиты, может быть у них было бы меньше таких идиотских ошибок. А так вся надежда на то, что оригинальный автор пропатчит код, а то вдруг кусок функции которая буквы читает принадлежит кому-то ещё и не оригинальный лол.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

22. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (22), 28-Дек-25, 14:03 
> в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла

О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Фнон (-), 28-Дек-25, 14:09 
Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?
Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!"
Правдо в подобных проектах обычно warning'и выключают.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (5), 28-Дек-25, 14:16 
Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от Аноним (44), 28-Дек-25, 14:48 
> Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить?

А у скрипача должна быть скрипка, не позволяющая плохо играть?))

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

48. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Бжежко (ok), 28-Дек-25, 14:56 
Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:05 
Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от RM (ok), 28-Дек-25, 17:06 
> Но и оставшийся процент сможет нафакапить?
> Therac-25 передает привет)

справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

> Я уже молчу про менее смертельные, но неприятные ошибки, типа 1к пострадавших почтальонов (включая тюремные сроки) у Бриташек, которым [зря тут был эпитет] из Fujitsu написали овнокод.

я так понял там честь красного мундира дефектифные манагеры до последнего защищали

из свежего - пишут 7 не пережили ошибки https://sfconservancy.org/blog/2025/dec/23/seven-abbott-free.../
там статья в очень своеобразном стиле, но похоже датчик нормальный, а вот прилАжение на мабилу навайбыкодили

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 22:40 
>> Но и оставшийся процент сможет нафакапить?
> справедливости ради предыдущий оратор указал, что "и там проблемы бывают"

Вот да.
Не нафакапить кмк может только тот, кто ничего не делает.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +4 +/
Сообщение от Аноним (5), 28-Дек-25, 15:07 
Может. Запорит концерт. Особенно если много раз сфальшивит. Потеряет репутацию свою и оркестра и никто не пригласит из на настроили и не даст денег и оркестр будет есть сухари. И да скрипач может быть засланным казачком из другого оркестра.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

65. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Анонимусс (-), 28-Дек-25, 15:25 
> А у скрипача должна быть скрипка, не позволяющая плохо играть?))

У скрипача должна быть скрипка, а не табуретка к которой прифигачили несколько кусков медного провода.
Так и тут - у разработчика должен быть инструмент, а не древнее овно мамонта.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

99. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (44), 28-Дек-25, 16:44 
> а не древнее овно мамонта

Т.е. скрипка, которая не претерпела изменений со времён средневековья, по-твоему «овно мамонта». Ок, понял.

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Анонимусс (?), 28-Дек-25, 16:56 
> одно из самых ранних изображений скрипки (трёхструнной, по форме далёкой от классической)
> в итальянской живописи — картина Гауденцио Феррари «Мадонна апельсиновых деревьев» (1529)

Это уже не средние века, а Позднее Возрождение. Так что мимо.
Но сишечка это даже не проскрипка. Это какая-то палка-копалка.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (44), 28-Дек-25, 17:07 
> Это какая-то палка-копалка

Ну конечно, рассказывай…)

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (44), 28-Дек-25, 16:17 
> в нормальном языке

Язык нормальный, просто плохому танцору вечно что-то мешает… И данный CVE это наглядно демонстрирует - язык тут вообще не при чём. Если уж компилятор должен такой «детский сад, штаны на лямках» фиксить, то это будет компилятор для дебилов.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

125. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (122), 28-Дек-25, 19:34 
То есть в продовом проекте который стоит на 90% серверов в мире детская "случайная" ошибка. Веры в это ровно нуль.
Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 16:19 
Зачем так делать — понятно: надо перебирать символы, переменное число которых кодирует один байт. Но забывать про проверку на выход за границы при этом, конечно, нельзя.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

95. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (44), 28-Дек-25, 16:23 
Всё-равно никогда не надо изменять переменную одновременно в объявлении и в теле цикла, это бред.
Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 20:47 
А какая разница? Оба способа равноценны.
Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (130), 28-Дек-25, 20:30 
Открой коммит и посмотри на этот код. Там буквально две строчки, мапящие буквы из одного буфера в другой, и он там лежал с 1999 года. Просто никто код не рефакторил, а точнее не имел возможности рефакторнуть не форкая проект, потому что в GNU свои патчи хрен отправишь.
Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

29. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +7 +/
Сообщение от Аноним (5), 28-Дек-25, 14:14 
И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –3 +/
Сообщение от Аноним (32), 28-Дек-25, 14:20 
Вы пострадали от
> И это не просто ошибка в калькуляторе

?

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +4 +/
Сообщение от Аноним (5), 28-Дек-25, 14:21 
Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (35), 28-Дек-25, 14:36 
Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

43. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (43), 28-Дек-25, 14:46 
Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:04 
Как говорится не дайте себя обмануть в другом месте.
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (35), 28-Дек-25, 15:05 
Я имею в ввиду его нытьё по поводу недостаточного признания, вечные попытки уничижать гпл, и болтология на тему прямолинейности Столлмана. Всё это позволяет составить достаточно целостную картину.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

94. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:21 
> Все мы помним

All generalizations are false.
Просвети.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

37. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (23), 28-Дек-25, 14:39 
У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

36. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +2 +/
Сообщение от Аноним (43), 28-Дек-25, 14:37 
1. там в анонсе ещё секвоя была заявлена:

>When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*.

2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/...

Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:02 
(2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от 12yoexpert (ok), 28-Дек-25, 15:29 
никому
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:24 
Мне.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

157. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (157), 29-Дек-25, 00:38 
И мне тоже.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (43), 28-Дек-25, 14:41 
>Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера

Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +4 +/
Сообщение от Аноним (38), 28-Дек-25, 14:43 
>обрезка данных по границе 20000 символов при вычислении хэша

Закладки так не делают. Такое можно сделать только по исключительной тупости.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (46), 28-Дек-25, 14:50 
Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (38), 28-Дек-25, 15:30 
>Закладки именно так делают.

Почитай разбор про выбор параметров таблиц замен в алгоритмах Стрибог и Кузнечик. Лучшие мировые криптоаналитики бились, но *доказать* неслучайность так и не смогли. В итоге предали анафеме исключительно на основе «highly likely» (часовню тоже я)

Вот как делают закладки.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (5), 28-Дек-25, 15:02 
Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

62. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Аноним (60), 28-Дек-25, 15:19 
Какие доказательства есть что это закладка а не человеческая ошибка?
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –3 +/
Сообщение от localhostadmin (ok), 28-Дек-25, 14:44 
Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Фнон (?), 28-Дек-25, 15:15 
Как можно не понимать такие простые вещи??
systemd делалось по заказу корпораций для угнетения админов,
а gpg пишут мальчики-зайчики из проекта ГНУ!
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (5), 28-Дек-25, 15:41 
Кто финансирует зайчиков? Кто у них тимлид, начальник, к т отдаёт им приказы, кто контролирует? Кто контролирует тех кто контролирует?
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от онанист (?), 28-Дек-25, 15:51 
никто
базар же
Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (84), 28-Дек-25, 16:06 
А я думал сова. Или китайцы или американцы или северные корейцы. Или все вместе взятые, но разных разрабов.
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Фнон (-), 28-Дек-25, 16:53 
Так никто не контролирует.
Просто собрались васяны, устроили базар, пишут как могут и когда могут.
Никакой ответственности.
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

127. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (122), 28-Дек-25, 19:38 
То есть ты не думаешь что в этот базар волосатая рука рынка может занести за любое нужное ей изменение и дополнение в коде?
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +1 +/
Сообщение от Аноним (85), 28-Дек-25, 16:34 
Подкину тебе ещё один повод для паранойи: а не является ли целью сей акции повсеместное пропихивание sequoia вместо gpg?
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

107. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от localhostadmin (ok), 28-Дек-25, 17:17 
Лично я просто стараюсь избегать использования pgp вцелом
Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 20:36 
Лучше вообще криптографию избегать. Тогда точно не взломают.
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Tron is Whistling (?), 28-Дек-25, 15:01 
Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (70), 28-Дек-25, 15:31 
Во-первых, на сайте я вижу 14 пунктов а не 12. Во-вторых, вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"
: https://openwall.com/lists/oss-security/2025/12/28/5
Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (85), 28-Дек-25, 21:55 
Всё правильно, 12 в GnuPG и 2 в minisign.

> вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал"

Перечитал три раза, не нашёл таких слов. Там написано буквально: это давно известная проблема, для обхода которой при автоматическом разборе есть опция.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от robot228email (?), 28-Дек-25, 16:12 
Что вместо GnuPG использовать? Секвою какую-то рекомендовали кажись?
Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от morphe (?), 28-Дек-25, 21:25 
Sequoia не имеет каких-то алгоритмов, но в целом полностью заменяет gpg.

При этом набор алгоритмов там значительно меняется просто при смене бекенда, их там несколько, например nettle (привязка к смешной библиотеке) и rust-crypto (криптография через Rust библиотеки). Одновременно оба использовать нельзя.

Ответить | Правка | Наверх | Cообщить модератору

152. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –1 +/
Сообщение от Аноним (152), 28-Дек-25, 22:27 
В расте всегда можно словить малварь на уровне llvm. И ты его никогда не вычислишь.
Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от morphe (?), 28-Дек-25, 23:28 
> В расте всегда можно словить малварь на уровне llvm. И ты его
> никогда не вычислишь.

Т.е теоретическая малварь в опенсорс компиляторе, при том что даже PoC подобной штуки (компилятор внедряющий закладку в компилируемый код) очень сложно делается, для тебя страшнее чем реально существующие уязвимости что встречаются каждый день, которые позволяют вытаскивать из процесса произвольные данные, и которые невозможно поймать до начала их активной эксплуатации всеми подряд?

Чтож, поздравляю, клоун. Скажи ещё каким это боком gcc более безопасный чем llvm.

Ответить | Правка | Наверх | Cообщить модератору

109. Скрыто модератором  –2 +/
Сообщение от Скотобаза (?), 28-Дек-25, 17:24 
Ответить | Правка | Наверх | Cообщить модератору

129. Скрыто модератором  +/
Сообщение от Аноним (122), 28-Дек-25, 19:39 
Ответить | Правка | Наверх | Cообщить модератору

150. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Котик Биба (?), 28-Дек-25, 22:14 
> Ошибка ... приводящая к записи в область памяти вне границы буфера. Проблема может привести к выполнению кода

Эх, вот бы был язык, который не давал выходить за границы буферов)))

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  –2 +/
Сообщение от Аноним (152), 28-Дек-25, 22:26 
И чтобы произошло? Он бы жрал как не в себя чтобы на каждый чих проверять весь мир?
Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимости в GnuPG, позволяющие обойти верификацию и выполни..."  +/
Сообщение от Аноним (154), 28-Дек-25, 23:17 
И какой вывод из этого? 🤔
Ответить | Правка | Наверх | Cообщить модератору

156. Скрыто модератором  +/
Сообщение от svpcom (ok), 28-Дек-25, 23:59 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру