В версии 1.9.0 криптографической библиотеки Libgcrypt обнаружили серьезную уязвимость безопасности. Об этом в рассылке предупредил Вернер Кох.
Libgcrypt — это криптографическая библиотека, которая используется в GNU Privacy Guard (GnuPG). Вернер Кох, основной разработчик GnuPG и автор Libgcrypt, отправил срочное предупреждение через список рассылки проекта.
Версия Libgcrypt 1.9.0 вышла 19 и должна была войти в грядущий выпуск GnuPG 2.3.
В первом предупреждении Кох не объяснил природу обнаруженной уязвимости, однако попросил прекратить использование библиотеки. Он также отметил, что Fedora 34 (выпуск которой запланирован на апрель 2021 года) и Gentoo Linux уже используют уязвимую версию.
Позже Кох предоставил дополнительную информацию о критической уязвимости (у которой пока нет идентификационного номера CVE). Она представляет собой переполнение буфера в куче (heap overflow). Простое дешифрование некоторых данных может привести к переполнению буфера кучи данными, контролируемыми злоумышленником, поясняет Кох.
Уязвимость была обнаружена исследователем Google Project Zero Тэвисом Орманди и влияет только на Libgcrypt v1.9.0.
«Использовать эту ошибку очень просто, поэтому от пользователей 1.9.0 требуются немедленные действия», — отметил Кох.
На сегодня уже доступна для скачивания версия 1.9.1, в которой ошибка исправлена.
