Gpg.fail

 (gpg.fail)
4 पॉइंट द्वारा GN⁺ 2025-12-28 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • GnuPG से जुड़ी कई सुरक्षा कमजोरियों को सार्वजनिक करने वाली वेबसाइट, जिसमें हर कमजोरी के विस्तृत विवरण पेज के लिंक दिए गए हैं
  • साइट पर PGP signature, encryption, trust verification प्रक्रियाओं में आने वाली विभिन्न समस्या-स्थितियों की सूची दी गई है
  • मुख्य आइटमों में plaintext attack, path traversal, hash calculation error, memory corruption, forged signature आदि शामिल हैं
  • संचालक ने बताया कि वह साइट को जल्दबाज़ी में फिर से लिख रहा है, और slides·PoC·patches जल्द जारी किए जाएंगे
  • यह मामला open source security tools की signature integrity और trust model पर गंभीर सत्यापन की आवश्यकता को उजागर करता है

साइट का अवलोकन

  • gpg.fail, GnuPG(OpenPGP implementation) की कमजोरियों को एकत्र कर सार्वजनिक करने वाली साइट है
    • हर आइटम अलग लिंक के ज़रिए विस्तृत तकनीकी विश्लेषण पेज पर जाता है
    • संचालक ने कहा, “मैं साइट का source code घर पर छोड़ आया हूँ, इसलिए इसे फिर से लिख रहा हूँ; कल बेहतर संस्करण की उम्मीद करें”
  • साइट के शीर्ष पर “Slides, pocs and patches soon!” वाक्य के साथ आगे सामग्री जारी करने का संकेत दिया गया है

सार्वजनिक की गई प्रमुख कमजोरियों की सूची

  • Multiple Plaintext Attack on Detached PGP Signatures
    • detached PGP signatures में multiple plaintext attack संभव होने की बात कही गई है
  • GnuPG Accepts Path Separators and Path Traversals in Literal Data "Filename" Field
    • GnuPG, literal data के filename field में path separator और path traversal को स्वीकार करता है
  • Cleartext Signature Plaintext Truncated for Hash Calculation
    • hash calculation के दौरान plaintext कट जाने की समस्या होती है
  • Encrypted message malleability checks are incorrectly enforced causing plaintext recovery attacks
    • ciphertext malleability checks गलत तरीके से लागू होने से plaintext recovery attack संभव है
  • Memory Corruption in ASCII-Armor Parsing
    • ASCII-Armor parsing के दौरान memory corruption हो सकता है
  • Trusted comment injection (minisign)
    • minisign में trusted comment injection संभव है
  • Cleartext Signature Forgery in the NotDashEscaped header implementation in GnuPG
    • NotDashEscaped header implementation में cleartext signature forgery संभव है
  • OpenPGP Cleartext Signature Framework Susceptible to Format Confusion
    • signature format confusion के प्रति संवेदनशील
  • GnuPG Output Fails To Distinguish Signature Verification Success From Message Content
    • आउटपुट में signature verification की सफलता और message content में अंतर न कर पाने की समस्या
  • Cleartext Signature Forgery in GnuPG
    • NULL byte handling error के कारण cleartext signature forgery संभव है
  • Radix64 Line-Truncation Enabling Polyglot Attacks
    • Radix64 line truncation से polyglot attack संभव है
  • GnuPG may downgrade digest algorithm to SHA1 during key signature checking
    • key signature checking के दौरान digest algorithm, SHA1 तक downgrade हो सकता है
  • GnuPG Trust Packet Parsing Enables Adding Arbitrary Subkeys
    • trust packet parsing प्रक्रिया में arbitrary subkey जोड़ना संभव है
  • Trusted comment Injection (minisign)
    • minisign से जुड़ी trusted comment injection कमजोरी का दोबारा उल्लेख किया गया है

आगे की योजना

  • संचालक फिलहाल patches पर काम कर रहा है, और slides तथा PoC(प्रमाण-अवधारणा कोड) जल्द जारी करने वाला है
  • साइट फिलहाल अस्थायी रूप से दोबारा लिखी गई स्थिति में है, और अगले दिन बेहतर संस्करण का संकेत दिया गया है

महत्व

  • यह दिखाता है कि GnuPG की signature·encryption·trust verification प्रणाली के पूरे ढांचे में कई कमजोरियां मौजूद हो सकती हैं
  • यह open source security tools के मूल trust validation और code audit को मजबूत करने की आवश्यकता पर जोर देता है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.