Разработчики пакета GnuPG объявили о выявлении критической уязвимости в библиотеке Libgcrypt, предоставляющей компоненты, лежащие в основе механизмов шифрования, применяемых в GnuPG. Уязвимость присутствует в функции смешивании энтропии генератора псевдослучайных чисел, используемом в Libgcrypt и GnuPG, и позволяет предсказать следующие 20 байт последовательности, получив 580 байт от генератора. Ошибка была допущена на раннем этапе разработки ещё в 1998 году, поэтому проблема присутствует во всех версиях GnuPG и Libgcrypt, выпущенных до 17 августа 2016 года. Обновления пакетов в дистрибутивах пока не выпущены (Ubuntu, Debian, RHEL, FreeBSD, CentOS, Fedora, SUSE). В качестве идентификатора уязвимости указан CVE-2016-6316, но судя по всему допущена ошибка, так как CVE-2016-6316 уже ранее был привязан к уязвимости в Ruby on Rails.
>GnuPGаахаххахах, этой хуйней никто не пользуется, оп опять обосралса
>>1825836>Microsoft Windows XP: New OperaЭто вот этой хуйней никто не пользуется, а GnuPG в половине дистров установлен. Впрочем>позволяет предсказать следующие 20 байт последовательности, получив 580 байт от генератораэто не уязвимость а говно.
>>1825867Почему же, вполне такая уязвимость, если смотреть с криптографичской точки зрения. Но с /s/осачевской, конечно, это хуйня, потому что нельзя никого поиметь.Между прочим, у GnuPG отличная история уязвимостей — 14 штук за 10 лет, из которых только одна критическая и три с половиной с выполнением кода, да и те все до 2010 года.https://www.cvedetails.com/vulnerability-list/vendor_id-4711/Gnupg.html
>>1825983Не вижу отсоса?
>>1826173А как же отсос ОПа?
Каждый раз, когда вижу такие треды, где линух "отсосал", я просто пишу # pacman -Syu и получаю удовольствие от жизни.
