Уязвимость в GnuPG: не обнаруживаются неподписанные данные
Оригинальное сообщение от Вернера Коха:
[b:861a14c24d][Announce] GnuPG does not detect injection of unsigned data[/b:861a14c24d[link1]]
Получил эту новость только что через gnupg-announce[link2], в деталях пока не разбирался. Подвержены все (!) версии до 1.4.2.2.
Настоятельно рекомендуется обновиться до GnuPG 1.4.2.2:
[b:861a14c24d]http://www.gnupg.org/download/[/b:861a14c24d[link3]]
Уязвимость опубликовали на Secunia:
http://secunia.com/advisories/19173/
Интересная атака. И, как обычно, на реализацию.
Теперь и Брюс Шнайер написал об этой уязвимости в своём блоге:
http://www.schneier.com/blog/a.....ge_vulnerabil_1.html[link4]