Kritikus sebezhetőség a fejlett titkosításban
Hihetetlen, de mégis igaz, hogy a 2025 őszén, illetve 2026 elején megjelent GnuPG 2.5.13 és 2.5.16 közötti kiadásokban olyan kritikus hiba van, amely könnyen lehetőséget adhat a támadóknak a szoftver összeomlasztására (DoS), vagy akár távoli kódfuttatásra is. A gond abból adódik, hogy egy speciális, túlnagyított kulcsot tartalmazó CMS (S/MIME) EnvelopedData üzenet stack buffer overflow-t idézhet elő a gpg-agentben, amikor PKDECRYPT –kem=CMS hívások történnek.
Ez a sérülékenység valószínűleg távoli támadásoknál is kihasználható. A hibát egy belső API módosításakor vezették be, hogy megfeleljen az amerikai FIPS-szabványnak — magyarán pont az extra megfelelés miatt csúszott be a veszély.
Kiket érint, és mit kell tenni?
A hibát a 2.5.13-tól 2.5.16-ig terjedő GnuPG-verziók, illetve a Gpg4win 5.0.0 kiadásai és néhány béta kiadása esetében tárták fel. Korábbi vagy más GnuPG-verziók nem érintettek, a Debian hivatalos csomagjai például biztonságban vannak, mert azok más verziókra épülnek.
A megoldás nagyon egyszerű: minden érintett rendszeren haladéktalanul frissíteni kell GnuPG 2.5.17-re, Windows alatt pedig Gpg4win 5.0.1-re. Ha azonnali frissítés nem lehetséges, a gpgsm vagy gpgsm.exe programot kell eltávolítani, így a hiba távolról nem lesz kihasználható.
Változások az új verzióban
Az új kiadás főleg a kritikus biztonsági hibákat hivatott orvosolni. Többek között:
– Javították a stack buffer overflow-t a gpgsm + KEM-kezelésnél.
– Buffer-túlcsordulás elleni védelem került be a TPM-es PKDECRYPT-folyamatokhoz.
– Megoldották bizonyos, túl hosszú aláírási csomagok nullmutató-hibáját.
– Bekerült egy új exportálási opció: keep-expired-subkeys.
– A kulcskereső funkciók javultak, gyorsult a kulcstár kezelése.
– Gyorsbillentyűk a helyes/hibás válaszokra PIN-kérésnél.
– Segítség a hibás kulcskiszolgáló-konfigurációk automatikus felismeréséhez.
Szoftverletöltés, csomagok ellenőrzése
A GnuPG forráskód, előre lefordított Windows telepítő és a hozzá tartozó kriptográfiai aláírások elérhetők több letöltési helyről is. Linuxon és más Unix-szerű rendszereken mind a forrás, mind az SHA-1 ellenőrző összeg (például: sha1sum gnupg-2.5.17.tar.bz2) rendelkezésre áll. Amennyiben kétség merül fel a letöltött csomag eredetiségével kapcsolatban, mindenképp ajánlott megbizonyosodni az aláírókulcs érvényességéről, illetve a megfelelő SHA-1 összeg egyezéséről.
Debian-szerű rendszerekhez is elérhető külön csomag, ám ez kizárólag azon felhasználóknak ajánlott, akik vállalják az OpenPGP-től eltérő LibrePGP-implementáció okozta interoperabilitási problémákat.
Nemzetközi támogatás, dokumentáció
A GnuPG már 26 nyelven érhető el, köztük magyarul is, és a nyelvi fájlok folyamatosan bővülnek, frissülnek. A teljes rendszer- és referenciakézikönyv részletesen online is megtalálható, illetve többféle PDF-formátumban letölthető. Technikai problémák, fordítási kérdések vagy hibajelentések esetén elsősorban a projekt levelezőlistáján várják a jelentkezéseket.
Fejlesztők, támogatási modell
A GnuPG fejlesztését és karbantartását a g10 Code GmbH végzi 2001 óta, a pénzügyi hátteret főleg közösségi adományok biztosítják. Teljes munkaidejű fejlesztői csapat dolgozik nemcsak a GnuPG-n, hanem a hozzá kapcsolódó szoftvereken (Libgcrypt, GPGME, Kleopatra, Okular, Gpg4win) is. Az üzleti modell hasonlóan működik, mint a Red Hatnál: minden szoftver szabadon hozzáférhető, az egyetlen kivétel a Windows MSI-telepítő binárisa.
A projekt hálás minden támogató, tesztelő, fordító és hozzájáruló számára, akik segítenek biztonságosabbá és jobbá tenni ezt az alapvető titkosítási eszközt.
Érdemes figyelni az aláírásokra
Hogy a letöltött csomag biztosan megbízható legyen, és ne tartalmazzon kártékony módosításokat, minden kiadáshoz külön kriptográfiai aláírás tartozik, amit csakis ismert és ellenőrzött fejlesztői kulcsok hitelesítenek. Így biztosítható, hogy a felhasználók valóban eredeti és biztonságos titkosítószoftvert telepítsenek.
Miért fontos most frissíteni?
Úgy tűnik, hogy a fejlett támadások és az automatizált kibertámadások korszakában egy ilyen, távoli kódfuttatásra is alkalmas sebezhetőség nemcsak elméleti, hanem gyakorlati veszélyt is jelent. Minden GnuPG-t vagy Gpg4wint használó felhasználónak érdemes azonnal lépni, nehogy adatai, levelezése vagy rendszerbiztonsága sérüljön egy kihasznált hibán keresztül.
A GnuPG újabb frissítésével a titkosítás kényelmesebb, biztonságosabb, a közösségi támogatás pedig továbbra is garantálja: a legfontosabb kriptószoftver nemcsak a profik, hanem mindenki számára megbízható eszköz marad.
