热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

紧急修复:开源加密库Libgcrypt及GnuPG模块中的高危安全漏洞

针对开源加密库Libgcrypt和GnuPG模块中发现的高危安全漏洞,开发团队已迅速发布紧急补丁。此次更新旨在修复最新版本中存在的严重安全问题,确保用户数据的机密性和完整性。建议所有使用这些库的开发者和组织尽快应用此更新,以避免潜在的安全风险。

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

 

Libgcrypt 的开发人员发布紧急更新,解决该软件最新版本中的一个严重漏洞。

Libgcrypt 是一款开源的加密库和 GNU Privacy Guard (GnuPG) 模块。虽然其代码可被独立使用,但 Libgcrypt 依赖于库 GnuPG ‘libgpg-error’。

Libgcrypt 版本1.9.0 发布于1月19日。本周二,谷歌 Project Zero 团队的研究员 Tavis Ormandy 公开披露了“因块缓冲区管理代码中一个不正确的假设而导致 libgcrypt 中产生堆缓冲区溢出漏洞”。他指出,“仅解密某些数据可溢出含受攻击者控制数据的堆缓冲区,在漏洞产生前,认证或签名均未进行验证。”

Ormandy 将研究结果告知 libgcrypt 开发人员。收到报告后,开发团队立即向用户发布通知,“【通知】【紧急】停止使用 Libgcrypt 1.9.0!”。

GnuPG 的开发人员 Werner Koch 在安全公告中要求用户停止使用版本1.9.0,多个项目如 Fedora 34 和 Gentoo 已开始使用该版本。Libgcrypt 1.9.1 在数小时内发布,不过该严重漏洞尚未被分配 CVE 编号。

密码专家 Filippo Valsorda 在分析该漏洞时建议称,该漏洞是由 C 中的内存安全问题引发的,可能和防御定时侧信道攻击的措施有关。

升级至 libgcrypt 1.9.0 的用户应立即尽快下载已修复版本。

更多详情可见:

https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html

推荐阅读

开源的 DNS 转发软件 Dnsmasq 被曝7个漏洞,可劫持数百万台设备

OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击

拥有开源安全背景的开发员当选白宫技术总监

2020年十大开源漏洞回顾

原文链接

https://www.zdnet.com/article/libgcrypt-developers-release-urgent-update-to-tackle-severe-vulnerability/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



推荐阅读
  • 2017-2018年度《网络编程与安全》第五次实验报告
    本报告详细记录了2017-2018学年《网络编程与安全》课程第五次实验的具体内容、实验过程、遇到的问题及解决方案。 ... [详细]
  • CentOS系统安装与配置常见问题及解决方案
    本文详细介绍了在CentOS系统安装过程中遇到的常见问题及其解决方案,包括Vi编辑器的操作、图形界面的安装、网络连接故障排除等。通过本文,读者可以更好地理解和解决这些常见问题。 ... [详细]
  • PHP 过滤器详解
    本文深入探讨了 PHP 中的过滤器机制,包括常见的 $_SERVER 变量、filter_has_var() 函数、filter_id() 函数、filter_input() 函数及其数组形式、filter_list() 函数以及 filter_var() 和其数组形式。同时,详细介绍了各种过滤器的用途和用法。 ... [详细]
  • Python第三方库安装的多种途径及注意事项
    本文详细介绍了Python第三方库的几种常见安装方法,包括使用pip命令、集成开发环境(如Anaconda)以及手动文件安装,并提供了每种方法的具体操作步骤和适用场景。 ... [详细]
  • 嵌入式开发环境搭建与文件传输指南
    本文详细介绍了如何为嵌入式应用开发搭建必要的软硬件环境,并提供了通过串口和网线两种方式将文件传输到开发板的具体步骤。适合Linux开发初学者参考。 ... [详细]
  • ABBYY FineReader:高效PDF转换、精准OCR识别与文档对比工具
    在处理PDF转换和OCR识别时,您是否遇到过格式混乱、识别率低或图表无法正常识别的问题?ABBYY FineReader以其强大的功能和高精度的识别技术,完美解决这些问题,帮助您轻松找到最终版文档。 ... [详细]
  • 本文回顾了2017年的转型和2018年的收获,分享了几家知名互联网公司提供的工作机会及面试体验。 ... [详细]
  • 本文详细介绍如何使用 Python 集成微信支付的三种主要方式:Native 支付、APP 支付和 JSAPI 支付。每种方式适用于不同的应用场景,如 PC 网站、移动端应用和公众号内支付等。 ... [详细]
  • java文本编辑器,java文本编辑器设计思路
    java文本编辑器,java文本编辑器设计思路 ... [详细]
  • Barbican 是 OpenStack 社区的核心项目之一,旨在为各种环境下的云服务提供全面的密钥管理解决方案。 ... [详细]
  • 尽管深度学习带来了广泛的应用前景,其训练通常需要强大的计算资源。然而,并非所有开发者都能负担得起高性能服务器或专用硬件。本文探讨了如何在有限的硬件条件下(如ARM CPU)高效运行深度神经网络,特别是通过选择合适的工具和框架来加速模型推理。 ... [详细]
  • 深入解析Redis内存对象模型
    本文详细介绍了Redis内存对象模型的关键知识点,包括内存统计、内存分配、数据存储细节及优化策略。通过实际案例和专业分析,帮助读者全面理解Redis内存管理机制。 ... [详细]
  • DCG 创始人兼首席执行官 Barry Silbert 发布致股东信,详细解答了 19 个核心问题,并分享了公司未来的发展方向。 ... [详细]
  • Windows 7 64位系统下Redis的安装与PHP Redis扩展配置
    本文详细介绍了在Windows 7 64位操作系统中安装Redis以及配置PHP Redis扩展的方法,包括下载、安装和基本使用步骤。适合对Redis和PHP集成感兴趣的开发人员参考。 ... [详细]
  • 精致小屏灰色风格苹果CMS v10模板,支持DIY主题管理系统
    探索一款专为影视站设计的苹果CMS v10模板,具备强大的主题管理系统和500多个设置项,无需二次开发即可轻松配置。下载地址:https://www.mytheme.cn/maccms/244.html,演示地址:http://demo.mytheme.cn/index.php?id=244。 ... [详细]
author-avatar
潇潇洒洒牛仔_584
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有