ライブラリクリプト 1.9.0 は、有名なGNU Privacy Guard(GPG)プログラムに組み込まれている暗号化ライブラリの新しいバージョンです。 ご存知のように、データに署名したり、ファイルを暗号化して第三者の詮索好きな目から保護したりできる非常に実用的なソフトウェアです。 さらに、さまざまな種類の暗号化と使用可能なアルゴリズムから選択できます。
このライブラリには非常に深刻な脆弱性があり、このソフトウェアのセキュリティを危険にさらす可能性があるため、このライブラリは問題になっています。 さらに、それだけではありません GnuPGによって使用されます、他の暗号化ソフトウェアでも使用されているため、他のプログラムにも同じように影響を与える可能性があります。
このプロジェクトの開発メーリングリストで、GnuPGとLibgcryptの背後にいる開発者が送信しました 警告メッセージ この問題について。 Libgcrypt 1.9.0が19年2021月2.3日にリリースされて以来、数日間発生している問題。これは、GnuPGXNUMXバージョンに統合されたことを意味します。
開発者のKochは、最初はこの脆弱性の性質の原因を確認していませんでした。この暗号化ライブラリの使用を停止するようユーザーに警告することに限定されており、このセキュリティ問題を修正するための新しいアップデートを発表しました。
しかし、数日後の26月XNUMX日に、CVEがなくても続くこの重大な脆弱性に関する詳細情報が提供されます。 これは、を利用できる問題です。 バッファオーバーフロー、これにより、攻撃者は検証や署名なしでデータにアクセスできる可能性があります。
この問題の発見者は、テイビス・オーマンディの研究者です。 GoogleのProject Zeroの。 そして、私たちが学んだように、それはLibgcrypt 1.9.0バージョンにのみ影響し、他のバージョンには影響しません。
あなたがこのバージョンのこのライブラリを持っている影響を受けた人の一人であるなら、あなたはすることができます ここにログインする、それを解決するパッチが適用された更新バージョンがあるため。 Libgcrypt1.9.1です.