Openai Security Research

Nome do Software Vulnerável e Versões Afetadas Versões do GnuPG anteriores à 2.5.17 Descrição Uma mensagem CMS (S/MIME) EnvelopedData especialmente elaborada com uma chave de sessão encapsulada excessivamente grande pode levar a um estouro de buffer baseado em pilha no `gpg-agent` durante o processamento de `PKDECRYPT--kem=CMS`. Isso pode resultar em negação de serviço e, potencialmente, corrupção de memória que leva à execução remota de código. Recomendações Atualize o GnuPG para a versão 2.5.17 ou posterior.

Nome do Software Vulnerável e Versões Afetadas Versões do GnuPG anteriores a 2.5.17 Descrição O GnuPG é uma ferramenta para criptografar dados e criar assinaturas digitais. Existe um estouro de buffer baseado em pilha no componente `tpm2daemon` ao processar o comando `PKDECRYPT` para chaves RSA e ECC com suporte de TPM. Este problema poderia permitir a execução de código arbitrário. A vulnerabilidade afeta sistemas que utilizam operações de deciframento de chaves RSA/ECC com suporte de TPM. Recomendações Atualize para a versão 2.5.17 do GnuPG ou posterior.