libgcrypt 1.9.0 是內置在著名的GNU Privacy Guard(GPG)程序中的加密庫的新版本。 如您所知,這是一個非常實用的軟件,您可以使用它對數據進行簽名,加密文件,以防止第三方窺視等。 此外,您可以在不同類型的加密和可用算法之間進行選擇。
好的,此庫已成為一個問題,因為他們已經在其中找到了一個非常嚴重的漏洞,這可能會損害該軟件的安全性。 而且,不僅 由GnuPG使用其他加密軟件也使用它,因此它可能以相同的方式影響其他程序。
在該項目的開發郵件列表中,GnuPG和Libgcrypt背後的開發人員已發送 消息提醒 關於這個問題。 自1.9.0年19月2021日發布Libgcrypt 2.3以來,這個問題已經存在了好幾天,這意味著它已集成在GnuPG XNUMX版本中。
開發商Koch最初並未確認此漏洞的本質,它僅限於提醒用戶停止使用此加密庫,並宣布了一項新更新來糾正此安全問題。
但是幾天后的26月XNUMX日,它將提供有關此關鍵漏洞的更多信息,而該漏洞在沒有CVE的情況下仍在繼續。 這個問題可以利用 緩衝區溢出,這可能會使攻擊者無需進行任何相關的驗證或簽名就可以訪問數據。
至於這個問題的發現者,是來自 谷歌的Project Zero。 而且,據我們了解,它僅影響Libgcrypt 1.9.0版本,而不影響其他版本。
如果您是擁有此庫此版本的受影響者之一,則可以 訪問這裡,因為有一個更新的版本帶有可解決該問題的補丁。 它是Libgcrypt 1.9.1.