经历了之前的 GPG “假”漏洞,本月 8 日又来了个 GPG 真漏洞!当使用 GPG 签名文档时,签名者可以给文档附加一个可选的“原文文件名”,你可能见过。然而,偏偏遗漏了这里没有正确清除文件名中的控制字符,攻击者可以向终端和 GPG 内部管道注入任意控制序列,让假文件看起来是真文件。立即更新到 2.2.8.

· · Web · 0 · 9 · 6
Sign in to participate in the conversation

cybrespace: the social hub of the information superhighway jack in to the mastodon fediverse today and surf the dataflow through our cybrepunk, slightly glitchy web portal support us on patreon or liberapay!