Gpg.fail

 (gpg.fail)
4 points par GN⁺ 2025-12-28 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Un site web qui divulgue plusieurs vulnérabilités de sécurité liées à GnuPG, avec des liens vers une page détaillée pour chacune
  • Le site répertorie divers cas problématiques survenant lors des processus de signature PGP, chiffrement et vérification de confiance
  • Parmi les principaux éléments figurent des attaques en texte clair, la traversée de chemin, des erreurs de calcul de hachage, la corruption mémoire et des signatures falsifiées
  • L’auteur indique être en train de réécrire le site dans l’urgence et prévoit de publier bientôt des slides, des PoC et des patchs
  • Un cas qui met en évidence la nécessité de vérifier sérieusement l’intégrité des signatures et le modèle de confiance des outils de sécurité open source

Aperçu du site

  • gpg.fail est un site qui rassemble et publie des vulnérabilités de GnuPG (implémentation d’OpenPGP)
    • Chaque entrée renvoie, via un lien distinct, vers une page d’analyse technique détaillée
    • L’auteur précise qu’il a laissé le code source du site chez lui et qu’il est en train de le réécrire, en ajoutant : « attendez-vous à une meilleure version demain »
  • En haut du site, la mention "Slides, pocs and patches soon!" annonce la publication prochaine de documents complémentaires

Principales vulnérabilités rendues publiques

  • Multiple Plaintext Attack on Detached PGP Signatures
    • Indique qu’une attaque multi-texte clair est possible sur les signatures PGP détachées
  • GnuPG Accepts Path Separators and Path Traversals in Literal Data "Filename" Field
    • GnuPG accepte des séparateurs de chemin et la traversée de répertoires dans le champ de nom de fichier des données littérales
  • Cleartext Signature Plaintext Truncated for Hash Calculation
    • Problème où le texte clair est tronqué lors du calcul du hachage
  • Encrypted message malleability checks are incorrectly enforced causing plaintext recovery attacks
    • Les vérifications de malléabilité du message chiffré sont appliquées de manière incorrecte, permettant des attaques de récupération du texte clair
  • Memory Corruption in ASCII-Armor Parsing
    • Possibilité de corruption mémoire pendant le parsing de l’ASCII-Armor
  • Trusted comment injection (minisign)
    • Possibilité d’injection de commentaire de confiance (trusted comment) dans minisign
  • Cleartext Signature Forgery in the NotDashEscaped header implementation in GnuPG
    • Possibilité de falsification de signature en texte clair dans l’implémentation de l’en-tête NotDashEscaped
  • OpenPGP Cleartext Signature Framework Susceptible to Format Confusion
    • Vulnérable à une confusion de format au niveau du framework de signature en texte clair d’OpenPGP
  • GnuPG Output Fails To Distinguish Signature Verification Success From Message Content
    • La sortie ne distingue pas correctement le succès de la vérification de signature du contenu du message
  • Cleartext Signature Forgery in GnuPG
    • Possibilité de falsification de signature en texte clair en raison d’une erreur de traitement des octets NULL
  • Radix64 Line-Truncation Enabling Polyglot Attacks
    • La troncature de lignes en Radix64 permet des attaques polyglottes
  • GnuPG may downgrade digest algorithm to SHA1 during key signature checking
    • Lors de la vérification de signatures de clés, GnuPG peut rétrograder l’algorithme de hachage vers SHA1
  • GnuPG Trust Packet Parsing Enables Adding Arbitrary Subkeys
    • Le parsing des paquets de confiance permet d’ajouter des sous-clés arbitraires
  • Trusted comment Injection (minisign)
    • La vulnérabilité d’injection de commentaire de confiance liée à minisign est mentionnée une seconde fois

Plan de publication

  • L’auteur est actuellement en train de préparer des patchs et prévoit de publier prochainement des slides et des PoC (proofs of concept)
  • Le site a été réécrit de manière temporaire, avec l’annonce d’une version améliorée le lendemain

Portée

  • Cela montre l’existence de nombreuses vulnérabilités touchant l’ensemble du système de signature, de chiffrement et de vérification de confiance de GnuPG
  • Un exemple qui souligne la nécessité de renforcer la vérification de la fiabilité fondamentale et les audits de code des outils de sécurité open source

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.