WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Dự án GnuPG vá "vấn đề an ninh nghiêm trọng" tồn tại từ năm 1998
Tuần trước, dự án GnuPG phát hành một bản tin an ninh, khuyến cáo người dùng cập nhật phần mềm lên phiên bản mới nhất, bao gồm bản vá cho một "vấn đề an ninh nghiêm trọng" ảnh hưởng đến tất cả các phiên bản GnuPG (GPG, hoặc Gnu Privacy Guard) được phát hành trong 18 năm qua.
Lỗi này ảnh hưởng đến các chức năng pha trộn trong RNG (bộ tạo số ngẫu nhiên) được sử dụng cho Libgcrypt, thư viện lõi của GPG.
Felix Dörre và Vladimir Klebanov từ Viện Công nghệ Karlsruhe đã phát hiện ra vấn đề (CVE-2016-6316). Theo các nhà nghiên cứu, kẻ tấn công có được 4640 bit từ RNG có thể dự đoán 160 bit tiếp theo của đầu ra.
Werner Koch, nhà sáng lập và phát triển chính của GPG, cho rằng điều này không làm suy yếu các khóa hiện có và khuyến cáo người dùng không vội vàng thu hồi các khóa. Ông cũng nói rằng không có khả năng kẻ tấn công có thể đoán hoặc phá hoại khóa riêng được tạo ra thông qua các thuật toán DSA và ElGamel, dựa trên thông tin công khai hiện có.
Theo Koch, các ứng dụng khác có triển khai GPG hoặc Libgcrypt nên cập nhật mã của mình. Tất cả các phiên bản phát hành trước ngày 17/8/2016 đều bị ảnh hưởng, trên tất cả các nền tảng hệ điều hành.
Koch phát hành phiên bản GPG/GnuPG 1.4.21 và 2.1.15 để giải quyết vấn đề. Các phiên bản Libgcrypt an toàn là 1.7.3, 1.6.6 và 1.5.6.
GPG/GnuPG là gói phần mềm cho phép người dùng mã hóa thông tin liên lạc của mình. Người dùng cài đặt phần mềm để mã hóa các trao đổi qua email, nhưng gói cơ sở cũng được nhúng vào nhiều sản phẩm khác để hỗ trợ mã hóa.
Theo Softpedia
Lỗi này ảnh hưởng đến các chức năng pha trộn trong RNG (bộ tạo số ngẫu nhiên) được sử dụng cho Libgcrypt, thư viện lõi của GPG.
Felix Dörre và Vladimir Klebanov từ Viện Công nghệ Karlsruhe đã phát hiện ra vấn đề (CVE-2016-6316). Theo các nhà nghiên cứu, kẻ tấn công có được 4640 bit từ RNG có thể dự đoán 160 bit tiếp theo của đầu ra.
Werner Koch, nhà sáng lập và phát triển chính của GPG, cho rằng điều này không làm suy yếu các khóa hiện có và khuyến cáo người dùng không vội vàng thu hồi các khóa. Ông cũng nói rằng không có khả năng kẻ tấn công có thể đoán hoặc phá hoại khóa riêng được tạo ra thông qua các thuật toán DSA và ElGamel, dựa trên thông tin công khai hiện có.
Theo Koch, các ứng dụng khác có triển khai GPG hoặc Libgcrypt nên cập nhật mã của mình. Tất cả các phiên bản phát hành trước ngày 17/8/2016 đều bị ảnh hưởng, trên tất cả các nền tảng hệ điều hành.
Koch phát hành phiên bản GPG/GnuPG 1.4.21 và 2.1.15 để giải quyết vấn đề. Các phiên bản Libgcrypt an toàn là 1.7.3, 1.6.6 và 1.5.6.
GPG/GnuPG là gói phần mềm cho phép người dùng mã hóa thông tin liên lạc của mình. Người dùng cài đặt phần mềm để mã hóa các trao đổi qua email, nhưng gói cơ sở cũng được nhúng vào nhiều sản phẩm khác để hỗ trợ mã hóa.
Theo Softpedia