2026. 01. 28., 16:57

Az új GnuPG-frissítés kritikus biztonsági rést tár fel

Az új GnuPG-frissítés kritikus biztonsági rést tár fel
Érdemes megvizsgálni, milyen veszélyeket rejt a GnuPG legújabb hibája, amelyhez frissítés is érkezett. Aki levelezésében, adattárolásban vagy akár titkos fájlkezelésben használja a GnuPG-t (GNU Privacy Guard), most nagyon figyeljen: kritikus hibára bukkantak a közelmúltban kiadott verziókban.

Kritikus sebezhetőség a fejlett titkosításban

Hihetetlen, de mégis igaz, hogy a 2025 őszén, illetve 2026 elején megjelent GnuPG 2.5.13 és 2.5.16 közötti kiadásokban olyan kritikus hiba van, amely könnyen lehetőséget adhat a támadóknak a szoftver összeomlasztására (DoS), vagy akár távoli kódfuttatásra is. A gond abból adódik, hogy egy speciális, túlnagyított kulcsot tartalmazó CMS (S/MIME) EnvelopedData üzenet stack buffer overflow-t idézhet elő a gpg-agentben, amikor PKDECRYPT –kem=CMS hívások történnek.

Ez a sérülékenység valószínűleg távoli támadásoknál is kihasználható. A hibát egy belső API módosításakor vezették be, hogy megfeleljen az amerikai FIPS-szabványnak — magyarán pont az extra megfelelés miatt csúszott be a veszély.

Kiket érint, és mit kell tenni?

A hibát a 2.5.13-tól 2.5.16-ig terjedő GnuPG-verziók, illetve a Gpg4win 5.0.0 kiadásai és néhány béta kiadása esetében tárták fel. Korábbi vagy más GnuPG-verziók nem érintettek, a Debian hivatalos csomagjai például biztonságban vannak, mert azok más verziókra épülnek.

A megoldás nagyon egyszerű: minden érintett rendszeren haladéktalanul frissíteni kell GnuPG 2.5.17-re, Windows alatt pedig Gpg4win 5.0.1-re. Ha azonnali frissítés nem lehetséges, a gpgsm vagy gpgsm.exe programot kell eltávolítani, így a hiba távolról nem lesz kihasználható.

Változások az új verzióban

Az új kiadás főleg a kritikus biztonsági hibákat hivatott orvosolni. Többek között:

– Javították a stack buffer overflow-t a gpgsm + KEM-kezelésnél.
– Buffer-túlcsordulás elleni védelem került be a TPM-es PKDECRYPT-folyamatokhoz.
– Megoldották bizonyos, túl hosszú aláírási csomagok nullmutató-hibáját.
– Bekerült egy új exportálási opció: keep-expired-subkeys.
– A kulcskereső funkciók javultak, gyorsult a kulcstár kezelése.
– Gyorsbillentyűk a helyes/hibás válaszokra PIN-kérésnél.
– Segítség a hibás kulcskiszolgáló-konfigurációk automatikus felismeréséhez.


Szoftverletöltés, csomagok ellenőrzése

A GnuPG forráskód, előre lefordított Windows telepítő és a hozzá tartozó kriptográfiai aláírások elérhetők több letöltési helyről is. Linuxon és más Unix-szerű rendszereken mind a forrás, mind az SHA-1 ellenőrző összeg (például: sha1sum gnupg-2.5.17.tar.bz2) rendelkezésre áll. Amennyiben kétség merül fel a letöltött csomag eredetiségével kapcsolatban, mindenképp ajánlott megbizonyosodni az aláírókulcs érvényességéről, illetve a megfelelő SHA-1 összeg egyezéséről.

Debian-szerű rendszerekhez is elérhető külön csomag, ám ez kizárólag azon felhasználóknak ajánlott, akik vállalják az OpenPGP-től eltérő LibrePGP-implementáció okozta interoperabilitási problémákat.

Nemzetközi támogatás, dokumentáció

A GnuPG már 26 nyelven érhető el, köztük magyarul is, és a nyelvi fájlok folyamatosan bővülnek, frissülnek. A teljes rendszer- és referenciakézikönyv részletesen online is megtalálható, illetve többféle PDF-formátumban letölthető. Technikai problémák, fordítási kérdések vagy hibajelentések esetén elsősorban a projekt levelezőlistáján várják a jelentkezéseket.

Fejlesztők, támogatási modell

A GnuPG fejlesztését és karbantartását a g10 Code GmbH végzi 2001 óta, a pénzügyi hátteret főleg közösségi adományok biztosítják. Teljes munkaidejű fejlesztői csapat dolgozik nemcsak a GnuPG-n, hanem a hozzá kapcsolódó szoftvereken (Libgcrypt, GPGME, Kleopatra, Okular, Gpg4win) is. Az üzleti modell hasonlóan működik, mint a Red Hatnál: minden szoftver szabadon hozzáférhető, az egyetlen kivétel a Windows MSI-telepítő binárisa.

A projekt hálás minden támogató, tesztelő, fordító és hozzájáruló számára, akik segítenek biztonságosabbá és jobbá tenni ezt az alapvető titkosítási eszközt.

Érdemes figyelni az aláírásokra

Hogy a letöltött csomag biztosan megbízható legyen, és ne tartalmazzon kártékony módosításokat, minden kiadáshoz külön kriptográfiai aláírás tartozik, amit csakis ismert és ellenőrzött fejlesztői kulcsok hitelesítenek. Így biztosítható, hogy a felhasználók valóban eredeti és biztonságos titkosítószoftvert telepítsenek.

Miért fontos most frissíteni?

Úgy tűnik, hogy a fejlett támadások és az automatizált kibertámadások korszakában egy ilyen, távoli kódfuttatásra is alkalmas sebezhetőség nemcsak elméleti, hanem gyakorlati veszélyt is jelent. Minden GnuPG-t vagy Gpg4wint használó felhasználónak érdemes azonnal lépni, nehogy adatai, levelezése vagy rendszerbiztonsága sérüljön egy kihasznált hibán keresztül.

A GnuPG újabb frissítésével a titkosítás kényelmesebb, biztonságosabb, a közösségi támogatás pedig továbbra is garantálja: a legfontosabb kriptószoftver nemcsak a profik, hanem mindenki számára megbízható eszköz marad.

2025, adminboss, lwn.net alapján

  • Te mit tennél, ha olyan szoftverben találnának hibát, amelyet te is használsz?
  • Te szerinted mennyire lehet bízni abban, hogy a frissítésekkel minden biztonsági gondot megoldanak?


Legfrissebb posztok

szerda 17:02

A Rhythm Heaven Groove fél ütemmel kullog a vetélytársak mögött

Ha valaki több mint egy évtizede játszott a Rhythm Heavennel, valószínűleg sosem felejtette el azt a különös, szürreális világot, ahol dadogó pankrátorok és furcsa madarak ugrálnak egy lélekmelengető popdallamra...

szerda 16:31

Az antwerpeni társasháztűzben legalább hatan meghaltak

🔥 Legalább hatan életüket vesztették, amikor tűz ütött ki egy tízemeletes társasházban Antwerpen Linkeroever városrészében...

szerda 16:01

A brit üvegszálfronton új csavar: gyorsítottan kebeleznék be a Netomniát

A brit távközlési piac gigantikus átalakulása zajlik: az ország versenyhatósága kiemelt vizsgálatot indított annak kapcsán, hogy a Netomnia anyavállalatát, a Substantialt a Liberty Global, a Telefonica és az InfraVia konzorciuma felvásárolja...

szerda 15:31

Az étteremláncok titkos háborúja az új márkák bekebelezéséért

Egy márka felvásárlása mindig izgalmas hír, de az igazi próbatétel csak akkor kezdődik, amikor a háttérben elindul a két vállalkozás összefésülése...

szerda 15:01

A Meta limitet szab az okosszemüvegek Conversation Focusának

👑 A Meta okosszemüvegei új korlátozást kaptak: már csak havi három órán át használható ingyen a Conversation Focus nevű funkció...

szerda 14:31

Az amerikai kormány újra zöld utat ad Anthropic Mythos és Fable MI‑modelljeinek

Az Egyesült Államok Kereskedelmi Minisztériuma feloldotta az exporttilalmat az Anthropic két fejlett MI-modellje, a Mythos 5 és a Fable 5 esetében...

szerda 10:25

Az amerikai kormány zöld utat ad a legerősebb Claude-oknak

Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...

szerda 10:01

A Meta-leépítések után is cáfolja az MI miatti állásfélelmeket Zuckerberg

A technológiai iparban egyre nagyobb félelem övezi azt, hogy az MI széles körű elterjedése mennyi munkahely megszűnéséhez vezethet...

szerda 09:25

A rejtélyesen eltűnő chatek: felháborodtak a Claude Code-felhasználók

Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...

szerda 09:14

A Pokémon GO júliusa: új raidfőnökök, kiemelt órák, GO Fest-őrület

Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...

APP
szerda 09:12

APPok, Amik Ingyenesek MA, 7/1

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...

szerda 09:01

Az MI rejtett szívkockázati jelre bukkant a százéves EKG-ban

❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...

szerda 08:37

A NASA négy új robotküldetéssel tör utat a holdbázisnak

🚀 Megemlíthető, hogy az amerikai űrügynökség egyre nagyobb lendülettel dolgozik azon, hogy hosszú távú emberi jelenlétet teremtsen a Holdon...

szerda 08:25

Az MI-lökéshullám felpörgeti a Dell bevételeit, de messze nem aranybánya

Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...

szerda 08:13

A 6 milliós Pokémon-kártyalopásért több mint tíz év börtönt kapott

💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...

szerda 08:01

A Szamóca-hold ma este: az év legalacsonyabb, apró teliholdja

🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...

szerda 07:48

Az Android 17 új zárképernyő-trükkje bárkit elbuktat betöréskor

Az Android 17 jelentős szigorításokat vezet be a zárolóképernyőn, amellyel gyakorlatilag ellehetetleníti a PIN vagy jelszó feltörését...

szerda 07:36

A kínai Lineshine szuperszámítógép világrekorder: közel 2 kvadrillió művelet/mp

A kínai LineShine szuperszámítógép most először szerezte meg a világelsőséget a számítási sebesség terén...

szerda 07:25

Az amerikai agrárminisztérium 180 millió legyet enged szabadon – íme, miért

A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...

szerda 07:13

A Microsoft felpörgeti kvantumbiztos ütemtervét, nőnek a kockázatok

⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...

szerda 06:49

Az MI‑böngészők új réme: a BioShocking-adatlopás

Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...

szerda 06:37

A Samsung szó szerint átformálja a hajlítható telefonjait?

Ahogy beköszönt a nyár, egyre hangosabbak a pletykák a Samsung legújabb összehajtható telefonjairól...

szerda 06:06

Történelmi események a mai napon (Július 1.)

Ma háborúk fordulópontjai, birodalmak átrendeződései és új korszakokat nyitó tudományos, társadalmi mérföldkövek találkoznak...

szerda 06:01

Az okosabb botvédelem mostantól megóvja a Teams-megbeszéléseket

🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...

kedd 18:32

A Cleveland-i Fed elnöke szerint MI fűti az inflációt – jöhet újabb kamatemelés

A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...

kedd 18:01

A Samsung Messages júliusban leáll: ezt az 5 dolgot tedd meg azonnal!

⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...

kedd 17:02

Az új CRISPR az epigenomot célozza, átírja a gének kapcsolóit

🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..

kedd 16:31

A Tata Electronicsnál múlt héten kiszivárogtak érzékeny iPhone-beszállítói adatok

Az elmúlt héten hatalmas adatlopás történt az indiai Tata Electronicsnál, ahol közel 630 GB-nyi bizalmas információ került illetéktelen kezekbe...

kedd 16:01

A YouTube-on már nézhető a Peacock – épp a vb-re!

A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...