Уязвимость в GnuPG: не обнаруживаются неподписанные данные


Оригинальное сообщение от Вернера Коха:
[b:861a14c24d][Announce] GnuPG does not detect injection of unsigned data[/b:861a14c24d[link1]]

Получил эту новость только что через gnupg-announce[link2], в деталях пока не разбирался. Подвержены все (!) версии до 1.4.2.2.

Настоятельно рекомендуется обновиться до GnuPG 1.4.2.2:
[b:861a14c24d]http://www.gnupg.org/download/[/b:861a14c24d[link3]]


Комментарии
— Lustermaf (11/03/2006 02:47)   
Уязвимость опубликовали на Secunia:
http://secunia.com/advisories/19173/
— SATtva (11/03/2006 09:24)   
Интересная атака. И, как обычно, на реализацию.
— Lustermaf (14/03/2006 00:04)   
Теперь и Брюс Шнайер написал об этой уязвимости в своём блоге:
http://www.schneier.com/blog/a.....ge_vulnerabil_1.html[link4]

Ссылки
[link1] http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000216.html

[link2] http://lists.gnupg.org/pipermail/gnupg-announce/

[link3] http://www.gnupg.org/download/

[link4] http://www.schneier.com/blog/archives/2006/03/huge_vulnerabil_1.html