Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти верификацию сообщений"	+/–
Сообщение от opennews (??), 21-Май-25, 12:43
В библиотеке OpenPGP.js выявлена уязвимость (CVE-2025-47934), позволяющая злоумышленнику отправить модифицированное сообщение, которое будет воспринято получателем как верифицированное (функции openpgp.verify и openpgp.decrypt вернут признак успешной проверки цифровой подписи, несмотря на то, что содержимое заменено и отличается от данных, для которых создавалась подпись). Уязвимость устранена в выпусках OpenPGP.js 5.11.3 и 6.1.1. Проблема проявляется только в ветках OpenPGP.js 5.x и 6.x, и не затрагивает OpenPGP.js 4.x... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63278
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+3 +/–
Сообщение от Аноним (1), 21-Май-25, 12:43
Красивое...
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+3 +/–
Сообщение от Смузихлеб забывший пароль (?), 21-Май-25, 12:53
Что-то подобное было в реализациях JWT в своё время Получается, системой выдавался jwt-ключ, содержащий открытый ключ асимметричного шифрования Достаточно было в полученном jwt-ключе поменять тип на симметричный, проставить туда тот же открытый ключ, им же "подписать" и... всё норм. Меняй параметры ключа как хочешь - заходи под любым пользователем с любыми правами итд итп
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+4 +/–
Сообщение от Аноним (8), 21-Май-25, 13:13
Протонмайл спалился
Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+1 +/–
	Сообщение от Аноним (19), 21-Май-25, 19:21
	Я с самого начало этому протону не доверял. Мутная контора какая-то.
	Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+3 +/–
Сообщение от Сосиска в кармане (?), 21-Май-25, 14:37
Зашёл я в код посмотреть, а там ужас что на***верчено. Даже по сообщению коммита `Don't mutate message during verification` видно квалификацию.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Аноним (-), 21-Май-25, 16:17
Интересно, смотрели ли, кто это коммитил, когда и, главное, не упало ли ему на счет большая сумма денег. Пример ХЗ показал, что опесорсные проекты супер уязвимы к внедрению васянов без имени и фамилии.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
Сообщение от Аноним (20), 21-Май-25, 20:49
Так и запишем: в безопасных системах структуры данных организованы в иерархические структуры, где если только одна запись имеет силу - то исключительно её можно поместить в родительскую структуру. Пакетная структура OpenPGP - хлам. От неё пора избавляться.
Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Аноним (23), 21-Май-25, 23:15
	в пользу чего?
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от OpenEcho (?), 22-Май-25, 11:33
	openssl, age?
	Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	–1 +/–
Сообщение от Кошкажена (?), 21-Май-25, 22:43
Зачем такое писать на жс не ясно, когда есть васм.
Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Карлос Сношайтилис (ok), 22-Май-25, 00:23
	Wasm не спасёт от мамкиных криптогрофов. Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не сильно зависит от языка.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Кошкажена (?), 22-Май-25, 00:25
	> Wasm не спасёт от мамкиных криптогрофов. > Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не > сильно зависит от языка. Только взять готовую библиотеку лучше, чем реализовывать криптографию самому на жс.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Карлос Сношайтилис (ok), 22-Май-25, 23:30
	Согласен. Реализация криптолибы это отдельный челендж, обычно провальный. А уж на js – тем паче.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	–1 +/–
	Сообщение от OpenEcho (?), 22-Май-25, 11:36
	> когда есть васм WASM - есть **is not constant time = side channel attacks !**
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	30. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Кошкажена (?), 22-Май-25, 22:33
	>> когда есть васм > WASM - есть **is not constant time = side channel attacks !** Как связаны timing attack и WASM? Они возможны в любом яп.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от OpenEcho (?), 23-Май-25, 09:56
	>>> когда есть васм >> WASM - есть **is not constant time = side channel attacks !** > Как связаны timing attack и WASM? Они возможны в любом яп. - Во первых, WASM - не язык на котором програмируют, это ближе к байткоду. - Во вторых, компиляторы в УАСМ, трансформируют код в быстродействующий non-constant-time код, заменяющие лукапы в брэнчи причем в зависимости от инпута (спасибо JIT) - УАСМ который скармливается  браузерам добавляют временные изменения на низком уровне, тайминг в доступе к памяти, кэш и брэнч предикторы которые раскрывают информацию и УАСМ не предоставляет низко уровневого котроля кэша и памяти по сравнению с нативным кодом - ctgrind и dudect в помощь для иследования WASM в криптографии (мы ж про субж всё еще, правда?)
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Кошкажена (?), 23-Май-25, 15:42
	>[оверквотинг удален] > к байткоду. > - Во вторых, компиляторы в УАСМ, трансформируют код в быстродействующий non-constant-time > код, заменяющие лукапы в брэнчи причем в зависимости от инпута (спасибо > JIT) > - УАСМ который скармливается  браузерам добавляют временные изменения на низком уровне, > тайминг в доступе к памяти, кэш и брэнч предикторы которые раскрывают > информацию и УАСМ не предоставляет низко уровневого котроля кэша и памяти > по сравнению с нативным кодом > - ctgrind и dudect в помощь для иследования WASM в криптографии (мы > ж про субж всё еще, правда?) Ничего не понятно. Если хочешь сказать, что после компиляции в wasm можно получить timing attack, то хочу увидеть пруфы.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от OpenEcho (?), 23-Май-25, 20:27
	> то хочу увидеть пруфы. Дал ключевые слова, даже кратко разьяснил, но нет, таки надо еще и лекцию и с пруфами, в гугле наверно бан? Может еще яблочко  пожевать? :)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Кошкажена (?), 23-Май-25, 23:00
	>> то хочу увидеть пруфы. > Дал ключевые слова, даже кратко разьяснил, но нет, таки надо еще и лекцию и с пруфами, в гугле наверно бан? Бредовый поток сознания - это не краткое разъяснение. Нужны пруфы или не было. Дешевый трюк иди поищи не сработает.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от OpenEcho (?), 01-Июн-25, 15:11
	Те кто в теме, те поймут у кого бред и троллевая болезнь
	Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	–1 +/–
Сообщение от OpenEcho (?), 22-Май-25, 11:31
Интерсно, а mailvelope тоже субж юзает?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема