forum.opennet.ru - "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти верификацию сообщений" (12)

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти верификацию сообщений"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в библиотеке OpenPGP.js, позволяющая обойти верификацию сообщений"	+/–
Сообщение от opennews (??), 21-Май-25, 12:43
В библиотеке OpenPGP.js выявлена уязвимость (CVE-2025-47934), позволяющая злоумышленнику отправить модифицированное сообщение, которое будет воспринято получателем как верифицированное (функции openpgp.verify и openpgp.decrypt вернут признак успешной проверки цифровой подписи, несмотря на то, что содержимое заменено и отличается от данных, для которых создавалась подпись). Уязвимость устранена в выпусках OpenPGP.js 5.11.3 и 6.1.1. Проблема проявляется только в ветках OpenPGP.js 5.x и 6.x, и не затрагивает OpenPGP.js 4.x... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63278
Ответить \| Правка \| Cообщить модератору

Оглавление

Красивое , Аноним (1), 12:43 , 21-Май-25, (1) +2
Что-то подобное было в реализациях JWT в своё времяПолучается, системой выдавалс, Смузихлеб забывший пароль (?), 12:53 , 21-Май-25, (5) +2
Протонмайл спалился, Аноним (8), 13:13 , 21-Май-25, (8) +2

Я с самого начало этому протону не доверял Мутная контора какая-то , Аноним (19), 19:21 , 21-Май-25, (19)

Зашёл я в код посмотреть, а там ужас что на верчено Даже по сообщению коммита, Сосиска в кармане (?), 14:37 , 21-Май-25, (14) +3
Интересно, смотрели ли, кто это коммитил, когда и, главное, не упало ли ему на с, Аноним (-), 16:17 , 21-Май-25, (16) +1
Так и запишем в безопасных системах структуры данных организованы в иерархическ, Аноним (20), 20:49 , 21-Май-25, (20) –1

в пользу чего , Аноним (23), 23:15 , 21-Май-25, (23)

видимо, вражеских гостов, 12yoexpert (ok), 00:12 , 22-Май-25, (24)

Зачем такое писать на жс не ясно, когда есть васм , Кошкажена (?), 22:43 , 21-Май-25, (22)

Скрыто модератором, Карлос Сношайтилис (ok), 00:23 , 22-Май-25, (25)

Скрыто модератором, Кошкажена (?), 00:25 , 22-Май-25, (26)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +2 +/–

Сообщение от Аноним (1), 21-Май-25, 12:43

Красивое...

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +2 +/–

Сообщение от Смузихлеб забывший пароль (?), 21-Май-25, 12:53

Что-то подобное было в реализациях JWT в своё время
Получается, системой выдавался jwt-ключ, содержащий открытый ключ асимметричного шифрования
Достаточно было в полученном jwt-ключе поменять тип на симметричный, проставить туда тот же открытый ключ, им же "подписать" и... всё норм. Меняй параметры ключа как хочешь - заходи под любым пользователем с любыми правами итд итп

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +2 +/–

Сообщение от Аноним (8), 21-Май-25, 13:13

Протонмайл спалился

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +/–

Сообщение от Аноним (19), 21-Май-25, 19:21

Я с самого начало этому протону не доверял. Мутная контора какая-то.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +3 +/–

Сообщение от Сосиска в кармане (?), 21-Май-25, 14:37

Зашёл я в код посмотреть, а там ужас что на***верчено. Даже по сообщению коммита `Don't mutate message during verification` видно квалификацию.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +1 +/–

Сообщение от Аноним (-), 21-Май-25, 16:17

Интересно, смотрели ли, кто это коммитил, когда и, главное, не упало ли ему на счет большая сумма денег.
Пример ХЗ показал, что опесорсные проекты супер уязвимы к внедрению васянов без имени и фамилии.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." –1 +/–

Сообщение от Аноним (20), 21-Май-25, 20:49

Так и запишем: в безопасных системах структуры данных организованы в иерархические структуры, где если только одна запись имеет силу - то исключительно её можно поместить в родительскую структуру.

Пакетная структура OpenPGP - хлам. От неё пора избавляться.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +/–

Сообщение от Аноним (23), 21-Май-25, 23:15

в пользу чего?

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +/–

Сообщение от 12yoexpert (ok), 22-Май-25, 00:12

видимо, вражеских гостов

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..." +/–

Сообщение от Кошкажена (?), 21-Май-25, 22:43

Зачем такое писать на жс не ясно, когда есть васм.

Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором +/–

Сообщение от Карлос Сношайтилис (ok), 22-Май-25, 00:23

Wasm не спасёт от мамкиных криптогрофов.
Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не сильно зависит от языка.

Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором +/–

Сообщение от Кошкажена (?), 22-Май-25, 00:25

> Wasm не спасёт от мамкиных криптогрофов.
> Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не
> сильно зависит от языка.
Только взять готовую библиотеку лучше, чем реализовывать криптографию самому на жс.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Аноним (1), 21-Май-25, 12:43
Красивое...
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Смузихлеб забывший пароль (?), 21-Май-25, 12:53
Что-то подобное было в реализациях JWT в своё время Получается, системой выдавался jwt-ключ, содержащий открытый ключ асимметричного шифрования Достаточно было в полученном jwt-ключе поменять тип на симметричный, проставить туда тот же открытый ключ, им же "подписать" и... всё норм. Меняй параметры ключа как хочешь - заходи под любым пользователем с любыми правами итд итп
Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+2 +/–
Сообщение от Аноним (8), 21-Май-25, 13:13
Протонмайл спалился
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Аноним (19), 21-Май-25, 19:21
	Я с самого начало этому протону не доверял. Мутная контора какая-то.
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+3 +/–
Сообщение от Сосиска в кармане (?), 21-Май-25, 14:37
Зашёл я в код посмотреть, а там ужас что на***верчено. Даже по сообщению коммита `Don't mutate message during verification` видно квалификацию.
Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+1 +/–
Сообщение от Аноним (-), 21-Май-25, 16:17
Интересно, смотрели ли, кто это коммитил, когда и, главное, не упало ли ему на счет большая сумма денег. Пример ХЗ показал, что опесорсные проекты супер уязвимы к внедрению васянов без имени и фамилии.
Ответить \| Правка \| Наверх \| Cообщить модератору

20. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	–1 +/–
Сообщение от Аноним (20), 21-Май-25, 20:49
Так и запишем: в безопасных системах структуры данных организованы в иерархические структуры, где если только одна запись имеет силу - то исключительно её можно поместить в родительскую структуру. Пакетная структура OpenPGP - хлам. От неё пора избавляться.
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от Аноним (23), 21-Май-25, 23:15
	в пользу чего?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
	Сообщение от 12yoexpert (ok), 22-Май-25, 00:12
	видимо, вражеских гостов
	Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Уязвимость в библиотеке OpenPGP.js, позволяющая обойти вериф..."	+/–
Сообщение от Кошкажена (?), 21-Май-25, 22:43
Зачем такое писать на жс не ясно, когда есть васм.
Ответить \| Правка \| Наверх \| Cообщить модератору


	25. Скрыто модератором	+/–
	Сообщение от Карлос Сношайтилис (ok), 22-Май-25, 00:23
	Wasm не спасёт от мамкиных криптогрофов. Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не сильно зависит от языка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. Скрыто модератором	+/–
	Сообщение от Кошкажена (?), 22-Май-25, 00:25
	> Wasm не спасёт от мамкиных криптогрофов. > Даже проверенные алгоритмы могут иметь уязвимости в конкретной имплементации, и это не > сильно зависит от языка. Только взять готовую библиотеку лучше, чем реализовывать криптографию самому на жс.
	Ответить \| Правка \| Наверх \| Cообщить модератору