Libgcrypt kitaplığında ciddi bir hata düzeltildi. Google Project zero Uzmanı Tevis Ormandi, 19 Ocak 2021’de yayınlanan libgcrypt 1.9.0 şifreleme kütüphanesinin yeni bir versiyonunda bulmayı başardığı ciddi bir sorunu anlattı. Hata, GNU Privacy Guard (GnuPG veya GPG), systemd ve etkilenen sürümü kullanan diğer uygulamaları etkiledi.
Libgcrypt GNU Privacy Guard, OpenPGP standardının (RFC4880) ücretsiz uygulanması için geliştirilen evrensel bir şifreleme modülüdür. Libgcrypt kodu, Fedora ve Gentoo dahil olmak üzere birçok Linux dağıtımında bulunur ve macOS homebrew paket yöneticisinde ve DNSSEC için systemd’nin bir parçası olarak kullanılır.
Libgcrypt kitaplığında ciddi bir hata düzeltildi
Ormandi, bulunan hatanın hipp tampon taşması ile ilgili olduğunu yazıyor, ancak kullanımı kolay olduğu için oldukça ciddi olarak kabul ediliyor. Bir saldırganın kütüphaneye şifre çözme için özel olarak hazırlanmış bir veri bloğu göndermesi, böylece uygulamanın içine gömülü kodun rastgele bir parçasını çalıştırması veya çalışmasına neden olması gerekir.
İlgili Haber: On yıllık hata Linux sistemlerinde kök olmaya izin veriyor
Gnupgp’nin baş geliştiricisi Werner Koch, “sadece bazı verilerin şifresini çözmek, bir saldırganın kontrol ettiği verilerle hipe tamponunun taşmasına neden olabilir. Güvenlik açığı tetiklenmeden önce herhangi bir doğrulama ve imza doğrulaması yapılmaz” diye açıklıyor. Bu hatayı kullanmak kolaydır, bu nedenle 1.9.0 sürümünün kullanıcıları hemen harekete geçmelidir.”
Libgcrypt 1.9.0 kullanıcılarının mümkün olan en kısa sürede 1.9.1 sürümüne yükseltmeleri veya daha eski bir sürüme (1.8.5 veya üstü) geri dönmeleri önerilir.
