开源加密库和 GnuPG 模块 Libgcrypt 紧急修复严重漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Libgcrypt 的开发人员发布紧急更新,解决该软件最新版本中的一个严重漏洞。
Libgcrypt 是一款开源的加密库和 GNU Privacy Guard (GnuPG) 模块。虽然其代码可被独立使用,但 Libgcrypt 依赖于库 GnuPG ‘libgpg-error’。
Libgcrypt 版本1.9.0 发布于1月19日。本周二,谷歌 Project Zero 团队的研究员 Tavis Ormandy 公开披露了“因块缓冲区管理代码中一个不正确的假设而导致 libgcrypt 中产生堆缓冲区溢出漏洞”。他指出,“仅解密某些数据可溢出含受攻击者控制数据的堆缓冲区,在漏洞产生前,认证或签名均未进行验证。”
Ormandy 将研究结果告知 libgcrypt 开发人员。收到报告后,开发团队立即向用户发布通知,“【通知】【紧急】停止使用 Libgcrypt 1.9.0!”。
GnuPG 的开发人员 Werner Koch 在安全公告中要求用户停止使用版本1.9.0,多个项目如 Fedora 34 和 Gentoo 已开始使用该版本。Libgcrypt 1.9.1 在数小时内发布,不过该严重漏洞尚未被分配 CVE 编号。
密码专家 Filippo Valsorda 在分析该漏洞时建议称,该漏洞是由 C 中的内存安全问题引发的,可能和防御定时侧信道攻击的措施有关。
升级至 libgcrypt 1.9.0 的用户应立即尽快下载已修复版本。
更多详情可见:
https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html
推荐阅读
开源的 DNS 转发软件 Dnsmasq 被曝7个漏洞,可劫持数百万台设备
OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击
拥有开源安全背景的开发员当选白宫技术总监
2020年十大开源漏洞回顾
原文链接
https://www.zdnet.com/article/libgcrypt-developers-release-urgent-update-to-tackle-severe-vulnerability/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
开源加密库和 GnuPG 模块 Libgcrypt 紧急修复严重漏洞相关推荐
- 热门开源多媒体库 PJSIP 被爆5个内存损坏漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 现代和起亚紧急修复严重漏洞,只需USB电缆即可盗走车辆
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 汽车公司现代和起亚推出紧急软件更新,修复多个可被轻易偷盗的车型. 现代汽车宣布称,"美国发生越来越多的车辆失窃事件,攻击者无需按钮点火 ...
- Ubuntu 16.04.6 LTS 发布:紧急修复 APT 漏洞
Ubuntu 16.04 LTS (Xenial Xerus) 操作系统上周发布了第6个维护版本更新,以解决近期发现的 APT 漏洞. 正如早些时候报道的那样,Canonical 开始为其 Ubunt ...
- 苹果紧急修复远程漏洞,影响数十亿设备
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 苹果已为 iOS.macOS.watchOS 和 Safari 浏览器发布带外补丁,解决了一个可导致攻击者通过恶意 Web 内容在设备 ...
- Mozilla 修复跨平台加密库 NSS 中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 修复了影响跨平台网络安全服务 (NSS) 加密库中一个严重的内存损坏漏洞 (CVE-2021-43527). NSS 可用于开发 ...
- Java 加密库 Bouncy Castle安装使用教程
Bouncy Castle 简介 Bouncy Castle 是一个流行的开源加密库,提供了丰富的密码学算法和安全性服务的实现.它以 Java 语言为基础,并支持许多不同的平台和编程语言. Bounc ...
- 【下载】RSA1024及RSA2048加密算法漏洞CVE-2017-7526 问题出在GnuPG加密库
专家通过对RSA密钥发起侧信道攻击,可破解GnuPG加密库的RSA-1024加密算法.安全研究人员近期发现了一个严重漏洞.该编号为CVE-2017-7526的漏洞存在于隐私保护软件GnuPG(也称为G ...
- 【Python包】安装teradatasql提示找不到pycryptodome模块错误(pycrypto,pycryptodome和crypto加密库)...
1.问题描述 安装teradatasql时,出现错误Could not find a version that satisfies the requirement pycryptodome,具体如下 ...
- 开源同态加密库 HEhub 发布|首个由国内隐私计算团队研发的(全)同态加密算法库...
扫码关注 保护消费者权益 我们在行动 时至今日,数据要素已经成为数字经济时代最重要的生产要素之一,成为众多企业和机构的核心资产,而数据价值的体现依赖于数据的安全流通和利用.隐私计算作为新兴技术为数据的 ...
最新文章
- win32汇编--加载位图(bmp)资源
- spring+cxf 开发webService(主要是记录遇到spring bean注入不进来的解决方法)
- 人工智能,也许是另一场文艺复兴!
- elasticsearch python API
- 掌握这些 Redis 技巧,百亿数据量不在话下!
- SqlServer 2014 还原数据库时提示:操作系统返回了错误5,,拒绝访问
- 如何在 SAP Spartacus 产品明细页面添加自定义 UI
- 捕捉所有异常_详解Java中异常的分类
- 用python + hadoop streaming 编写分布式程序(一) -- 原理介绍,样例程序与本地调试
- 系统新模块增加需要哪些步骤_防锈高效型干式地暖模块解决了装修施工配合的哪些难点?...
- Docker 的使用
- 懒人神器——新手必备的图片后期处理软件
- 苹果CMS v10详细安装教程+官方原版源码分享
- STM32驱动_LCD1602
- 搜狗输入法 linux 卸载,ubuntu彻底卸载搜狗拼音输入法
- 解决steamcommunity报错443/80端口被占用
- rootfs bootfs bootloader
- [Android]SIM字段EF_SUME(6F54) 可用作STK app name
- 杭电acm 1214 圆桌会议(冒泡排序)
- 四川大学软件学院 2022 年春季 IT 企业实训项目开发概述
热门文章
- Oracle EBS-SQL (PO-5):采购订单控制信息查询.sql
- 一个实用的String实现类(C++)
- 为迎接祖国60华诞,更换博客页面了!!!
- TensorFlow的基础概念04
- 简述网桥、网关、网卡之间的联系和区别
- SegmentFault D-Day 2015 武汉站回顾
- RFM模型——构建数据库营销的商业战役!(转)
- 数据库lib7第2, 3题(创建索引和触发器)
- Bootstrap3.0学习第十二轮(导航、标签、面包屑导航)
- PHP 中Cookie和Session的使用