紧急修复：开源加密库Libgcrypt及GnuPG模块中的高危安全漏洞

 聚焦源代码安全&＃xff0c;网罗国内外最新资讯&＃xff01;

编译&＃xff1a;奇安信代码卫士团队

Libgcrypt 的开发人员发布紧急更新&＃xff0c;解决该软件最新版本中的一个严重漏洞。

Libgcrypt 是一款开源的加密库和 GNU Privacy Guard (GnuPG) 模块。虽然其代码可被独立使用&＃xff0c;但 Libgcrypt 依赖于库 GnuPG ‘libgpg-error’。

Libgcrypt 版本1.9.0 发布于1月19日。本周二&＃xff0c;谷歌 Project Zero 团队的研究员 Tavis Ormandy 公开披露了“因块缓冲区管理代码中一个不正确的假设而导致 libgcrypt 中产生堆缓冲区溢出漏洞”。他指出&＃xff0c;“仅解密某些数据可溢出含受攻击者控制数据的堆缓冲区&＃xff0c;在漏洞产生前&＃xff0c;认证或签名均未进行验证。”

Ormandy 将研究结果告知 libgcrypt 开发人员。收到报告后&＃xff0c;开发团队立即向用户发布通知&＃xff0c;“【通知】【紧急】停止使用 Libgcrypt 1.9.0!”。

GnuPG 的开发人员 Werner Koch 在安全公告中要求用户停止使用版本1.9.0&＃xff0c;多个项目如 Fedora 34 和 Gentoo 已开始使用该版本。Libgcrypt 1.9.1 在数小时内发布&＃xff0c;不过该严重漏洞尚未被分配 CVE 编号。

密码专家 Filippo Valsorda 在分析该漏洞时建议称&＃xff0c;该漏洞是由 C 中的内存安全问题引发的&＃xff0c;可能和防御定时侧信道攻击的措施有关。

升级至 libgcrypt 1.9.0 的用户应立即尽快下载已修复版本。

更多详情可见&＃xff1a;

https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html

推荐阅读

开源的 DNS 转发软件 Dnsmasq 被曝7个漏洞&＃xff0c;可劫持数百万台设备

OpenWRT开源项目论坛遭未授权访问&＃xff0c;可被用于供应链攻击

拥有开源安全背景的开发员当选白宫技术总监

2020年十大开源漏洞回顾

原文链接

https://www.zdnet.com/article/libgcrypt-developers-release-urgent-update-to-tackle-severe-vulnerability/

题图&＃xff1a;Pixabay License

本文由奇安信代码卫士编译&＃xff0c;不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错&＃xff0c;就点个 “在看” 或 "赞” 吧~