Gnupg1
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.08654
Распределение по критичности
Критический
0
Высокий
1
Средний
5
Низкий
0
Также сопоставлено как (исходные строки): gnupg1
Топ уязвимостей
CVE-2018-12020mainproc.c в GnuPG до версии 2.2.8 неправильно обрабатывает исходное имя файла во время действий по расшифровке и проверке, что позволяет удаленным злоумышленникам подделывать вывод, который GnuPG отправляет в файловый дескриптор 2 другим программам, использующим опцию "--status-fd 2". Например, данные OpenPGP могут представлять исходное имя файла, содержащее символы перевода строки в сочетании с кодами состояния GOODSIG или VALIDSIG.
CVE-2017-7526libgcrypt до версии 1.7.8 уязвим к атаке по сторонним каналам кэша, что приводит к полному взлому RSA-1024 при использовании метода слева направо для вычисления расширения скользящего окна. Считается, что та же атака работает на RSA-2048 с несколько большими вычислениями. Этот сторонний канал требует, чтобы злоумышленник мог запускать произвольное программное обеспечение на оборудовании, где используется закрытый ключ RSA.
CVE-2018-1000858GnuPG версии 2.1.12 - 2.2.11 содержит уязвимость Cross ite Request Forgery (CSRF) в dirmngr, что может привести к контролируемому злоумышленником CSRF, раскрытию информации, DoS. Эта атака, по-видимому, может быть использована, если жертва должна выполнить запрос WKD, например, ввести адрес электронной почты в окне создания сообщения Thunderbird/Enigmail. Эта уязвимость, по-видимому, была исправлена после коммита 4a4bb874f63741026bd26264c43bb32b1099f060.
CVE-2019-14855Обнаружена ошибка в том, как подписи сертификатов могли быть подделаны с использованием коллизий, обнаруженных в алгоритме SHA-1. Злоумышленник может использовать эту уязвимость для создания поддельных подписей сертификатов. Эта проблема затрагивает версии GnuPG до 2.2.18.
CVE-2018-6829cipher/elgamal.c в Libgcrypt до версии 1.8.2, при использовании для непосредственного шифрования сообщений, неправильно кодирует открытый текст, что позволяет злоумышленникам получать конфиденциальную информацию, читая данные зашифрованного текста (т.е. не имеет семантической безопасности перед лицом атаки только по зашифрованному тексту). Предположение Decisional Diffie-Hellman (DDH) не выполняется для реализации ElGamal в Libgcrypt.
CVE-2016-6313Функции смешивания в генераторе случайных чисел в Libgcrypt до версий 1.5.6, 1.6.x до 1.6.6 и 1.7.x до 1.7.3 и GnuPG до версии 1.4.21 облегчают злоумышленникам получение значений 160 бит, используя знания о предыдущих 4640 битах.