聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Libgcrypt 的开发人员发布紧急更新,解决该软件最新版本中的一个严重漏洞。

Libgcrypt 是一款开源的加密库和 GNU Privacy Guard (GnuPG) 模块。虽然其代码可被独立使用,但 Libgcrypt 依赖于库 GnuPG ‘libgpg-error’。

Libgcrypt 版本1.9.0 发布于1月19日。本周二,谷歌 Project Zero 团队的研究员 Tavis Ormandy 公开披露了“因块缓冲区管理代码中一个不正确的假设而导致 libgcrypt 中产生堆缓冲区溢出漏洞”。他指出,“仅解密某些数据可溢出含受攻击者控制数据的堆缓冲区,在漏洞产生前,认证或签名均未进行验证。”

Ormandy 将研究结果告知 libgcrypt 开发人员。收到报告后,开发团队立即向用户发布通知,“【通知】【紧急】停止使用 Libgcrypt 1.9.0!”。

GnuPG 的开发人员 Werner Koch 在安全公告中要求用户停止使用版本1.9.0,多个项目如 Fedora 34 和 Gentoo 已开始使用该版本。Libgcrypt 1.9.1 在数小时内发布,不过该严重漏洞尚未被分配 CVE 编号。

密码专家 Filippo Valsorda 在分析该漏洞时建议称,该漏洞是由 C 中的内存安全问题引发的,可能和防御定时侧信道攻击的措施有关。

升级至 libgcrypt 1.9.0 的用户应立即尽快下载已修复版本。

更多详情可见:

https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html

推荐阅读

开源的 DNS 转发软件 Dnsmasq 被曝7个漏洞,可劫持数百万台设备

OpenWRT开源项目论坛遭未授权访问,可被用于供应链攻击

拥有开源安全背景的开发员当选白宫技术总监

2020年十大开源漏洞回顾

原文链接

https://www.zdnet.com/article/libgcrypt-developers-release-urgent-update-to-tackle-severe-vulnerability/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

开源加密库和 GnuPG 模块 Libgcrypt 紧急修复严重漏洞相关推荐

  1. 热门开源多媒体库 PJSIP 被爆5个内存损坏漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  2. 现代和起亚紧急修复严重漏洞,只需USB电缆即可盗走车辆

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 汽车公司现代和起亚推出紧急软件更新,修复多个可被轻易偷盗的车型. 现代汽车宣布称,"美国发生越来越多的车辆失窃事件,攻击者无需按钮点火 ...

  3. Ubuntu 16.04.6 LTS 发布:紧急修复 APT 漏洞

    Ubuntu 16.04 LTS (Xenial Xerus) 操作系统上周发布了第6个维护版本更新,以解决近期发现的 APT 漏洞. 正如早些时候报道的那样,Canonical 开始为其 Ubunt ...

  4. 苹果紧急修复远程漏洞,影响数十亿设备

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 苹果已为 iOS.macOS.watchOS 和 Safari 浏览器发布带外补丁,解决了一个可导致攻击者通过恶意 Web 内容在设备 ...

  5. Mozilla 修复跨平台加密库 NSS 中的严重漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 修复了影响跨平台网络安全服务 (NSS) 加密库中一个严重的内存损坏漏洞 (CVE-2021-43527). NSS 可用于开发 ...

  6. Java 加密库 Bouncy Castle安装使用教程

    Bouncy Castle 简介 Bouncy Castle 是一个流行的开源加密库,提供了丰富的密码学算法和安全性服务的实现.它以 Java 语言为基础,并支持许多不同的平台和编程语言. Bounc ...

  7. 【下载】RSA1024及RSA2048加密算法漏洞CVE-2017-7526 问题出在GnuPG加密库

    专家通过对RSA密钥发起侧信道攻击,可破解GnuPG加密库的RSA-1024加密算法.安全研究人员近期发现了一个严重漏洞.该编号为CVE-2017-7526的漏洞存在于隐私保护软件GnuPG(也称为G ...

  8. 【Python包】安装teradatasql提示找不到pycryptodome模块错误(pycrypto,pycryptodome和crypto加密库)...

     1.问题描述 安装teradatasql时,出现错误Could not find a version that satisfies the requirement pycryptodome,具体如下 ...

  9. 开源同态加密库 HEhub 发布|首个由国内隐私计算团队研发的(全)同态加密算法库...

    扫码关注 保护消费者权益 我们在行动 时至今日,数据要素已经成为数字经济时代最重要的生产要素之一,成为众多企业和机构的核心资产,而数据价值的体现依赖于数据的安全流通和利用.隐私计算作为新兴技术为数据的 ...

最新文章

  1. win32汇编--加载位图(bmp)资源
  2. spring+cxf 开发webService(主要是记录遇到spring bean注入不进来的解决方法)
  3. 人工智能,也许是另一场文艺复兴!
  4. elasticsearch python API
  5. 掌握这些 Redis 技巧,百亿数据量不在话下!
  6. SqlServer 2014 还原数据库时提示:操作系统返回了错误5,,拒绝访问
  7. 如何在 SAP Spartacus 产品明细页面添加自定义 UI
  8. 捕捉所有异常_详解Java中异常的分类
  9. 用python + hadoop streaming 编写分布式程序(一) -- 原理介绍,样例程序与本地调试
  10. 系统新模块增加需要哪些步骤_防锈高效型干式地暖模块解决了装修施工配合的哪些难点?...
  11. Docker 的使用
  12. 懒人神器——新手必备的图片后期处理软件
  13. 苹果CMS v10详细安装教程+官方原版源码分享
  14. STM32驱动_LCD1602
  15. 搜狗输入法 linux 卸载,ubuntu彻底卸载搜狗拼音输入法
  16. 解决steamcommunity报错443/80端口被占用
  17. rootfs bootfs bootloader
  18. [Android]SIM字段EF_SUME(6F54) 可用作STK app name
  19. 杭电acm 1214 圆桌会议(冒泡排序)
  20. 四川大学软件学院 2022 年春季 IT 企业实训项目开发概述

热门文章

  1. Oracle EBS-SQL (PO-5):采购订单控制信息查询.sql
  2. 一个实用的String实现类(C++)
  3. 为迎接祖国60华诞,更换博客页面了!!!
  4. TensorFlow的基础概念04
  5. 简述网桥、网关、网卡之间的联系和区别
  6. SegmentFault D-Day 2015 武汉站回顾
  7. RFM模型——构建数据库营销的商业战役!(转)
  8. 数据库lib7第2, 3题(创建索引和触发器)
  9. Bootstrap3.0学习第十二轮(导航、标签、面包屑导航)
  10. PHP 中Cookie和Session的使用