libgcrypt 1.9.0 a titkosító könyvtár új verziója, amely a híres GNU Privacy Guard (GPG) programba épült. Mint jól tudod, ez egy nagyon praktikus szoftver, amellyel adatokat írhat alá, fájlokat titkosíthat, hogy megvédje őket harmadik fél kíváncsi tekinteteitől stb. Ezen felül választhat a különféle titkosítási típusok és a rendelkezésre álló algoritmusok között.
Nos, ez a könyvtár problémává vált, mivel meglehetősen súlyos sebezhetőséget találtak benne, és ez veszélyeztetheti a szoftver biztonságát. Továbbá nemcsak a GnuPG használjaMás titkosító szoftver is használja, így ugyanúgy befolyásolhatja más programokat is.
A projekt fejlesztői levelezőlistáján a GnuPG és a Libgcrypt mögött álló fejlesztő küldött figyelmeztető üzenet erről a problémáról. Néhány napja aktív probléma, mivel a Libgcrypt 1.9.0 19. január 2021-én megjelent, ami azt jelenti, hogy integrálódott a GnuPG 2.3 verzióba.
Koch, a fejlesztő, eredetileg nem erősítette meg a biztonsági rés eredetét, csupán arra korlátozódott, hogy figyelmeztesse a felhasználókat, hogy hagyják abba a titkosítási könyvtár használatát, és új frissítést jelentett be a biztonsági probléma kijavítására.
Néhány nappal később, január 26-án azonban több információt nyújt erről a kritikus sebezhetőségről, amely CVE nélkül is folytatódik. Ez egy olyan probléma, amely kihasználhatja a puffer túlcsordulás, ami azt eredményezheti, hogy a támadó mindenféle ellenőrzés vagy aláírás nélkül hozzáférhet az adatokhoz, ami érintett.
Ami a probléma felfedezőjét illeti, az a Tavis Ormandy kutató Google Project Zero. És mint megtudtuk, ez csak a Libgcrypt 1.9.0 verziót érinti, más verziókat nem.
Ha Ön az érintettek közé tartozik, és rendelkezik a könyvtár ezen verziójával, akkor megteheti itt érhető el, mivel van egy frissített verzió egy javítással, amely megoldja. Ez a Libgcrypt 1.9.1.