Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти верификацию сообщений"	+/–
Сообщение от opennews (??), 21-Май-25, 12:43
В библиотеке OpenPGP.js выявлена уязвимость (CVE-2025-47934), позволяющая злоумышленнику отправить модифицированное сообщение, которое будет воспринято получателем как верифицированное (функции openpgp.verify и openpgp.decrypt вернут признак успешной проверки цифровой подписи, несмотря на то, что содержимое заменено и отличается от данных, для которых создавалась подпись). Уязвимость устранена в выпусках OpenPGP.js 5.11.3 и 6.1.1. Проблема проявляется только в ветках OpenPGP.js 5.x и 6.x, и не затрагивает OpenPGP.js 4.x... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63278
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Аноним (1), 21-Май-25, 12:43
Красивое...
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Смузихлеб забывший пароль (?), 21-Май-25, 12:53
Что-то подобное было в реализациях JWT в своё время Получается, системой выдавался jwt-ключ, содержащий открытый ключ асимметричного шифрования Достаточно было в полученном jwt-ключе поменять тип на симметричный, проставить туда тот же открытый ключ, им же "подписать" и... всё норм. Меняй параметры ключа как хочешь - заходи под любым пользователем с любыми правами итд итп
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Аноним (8), 21-Май-25, 13:13
Протонмайл спалился
Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Аноним (19), 21-Май-25, 19:21
	Я с самого начало этому протону не доверял. Мутная контора какая-то.
	Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Сосиска в кармане (?), 21-Май-25, 14:37
Зашёл я в код посмотреть, а там ужас что на***верчено. Даже по сообщению коммита `Don't mutate message during verification` видно квалификацию.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
Сообщение от Аноним (15), 21-Май-25, 16:06
Аяяй! И кто же это сдееелал?
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
Сообщение от Аноним (-), 21-Май-25, 16:17
Интересно, смотрели ли, кто это коммитил, когда и, главное, не упало ли ему на счет большая сумма денег. Пример ХЗ показал, что опесорсные проекты супер уязвимы к внедрению васянов без имени и фамилии.
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором	+/–
Сообщение от YetAnotherOnanym (ok), 21-Май-25, 16:45
> Проект развивается разработчиками Proton Mail Ааа, ну, понятно. Даже без этой новости надо избегать всего, что связано с этой псевдоанонимной помойкой для мамкиных чегевар и гаражных коноплеводов.
Ответить | Правка | Наверх | Cообщить модератору

	18. Скрыто модератором	+/–
	Сообщение от Аноним (18), 21-Май-25, 18:31
	Ага, @mail.ru и @yandex.ru - фсё твоё, пользуйся.
	Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
Сообщение от Аноним (20), 21-Май-25, 20:49
Так и запишем: в безопасных системах структуры данных организованы в иерархические структуры, где если только одна запись имеет силу - то исключительно её можно поместить в родительскую структуру. Пакетная структура OpenPGP - хлам. От неё пора избавляться.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема