Katalog CVE

CVE-2022-3219

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

GnuPG może zostać zmuszony do nieustannego przetwarzania w przypadku podania stosunkowo małego wejścia, na przykład poprzez stworzenie klucza publicznego z tysiącami podpisów, skompresowanego do zaledwie kilku KB.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wywołania nadmiernego obciążenia systemu, co może prowadzić do odmowy usługi. To stwarza ryzyko dla dostępności usług korzystających z GnuPG.

Rekomendacja

Zaleca się monitorowanie użycia GnuPG oraz wprowadzenie ograniczeń na liczbę podpisów w kluczach publicznych, aby zminimalizować ryzyko wystąpienia tej podatności.

Oryginalny opis (angielski, źródło NVD)

GnuPG can be made to spin on a relatively small input by (for example) crafting a public key with thousands of signatures attached, compressed down to just a few KB.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS