CVE-2022-3219
NiskieStreszczenie
GnuPG może zostać zmuszony do nieustannego przetwarzania w przypadku podania stosunkowo małego wejścia, na przykład poprzez stworzenie klucza publicznego z tysiącami podpisów, skompresowanego do zaledwie kilku KB.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wywołania nadmiernego obciążenia systemu, co może prowadzić do odmowy usługi. To stwarza ryzyko dla dostępności usług korzystających z GnuPG.
Rekomendacja
Zaleca się monitorowanie użycia GnuPG oraz wprowadzenie ograniczeń na liczbę podpisów w kluczach publicznych, aby zminimalizować ryzyko wystąpienia tej podatności.
Oryginalny opis (angielski, źródło NVD)
GnuPG can be made to spin on a relatively small input by (for example) crafting a public key with thousands of signatures attached, compressed down to just a few KB.

