Belangrijke update voor GnuPG
Het GNU Project waarschuwt dat er voor GnuPG, de gratis implementatie van de OpenPGP standaard, een belangrijke update is verschenen. Tavis Ormandy van het Gentoo security team heeft een ernstig beveiligingslek in de encryptiesoftware gevonden waardoor een aanvaller via een geprepareerd bericht of bestand willekeurige code kan uitvoeren en het systeem overnemen.
GnuPG versie 1.4.6 en een patch voor versie 2.0.1 zijn via deze security advisory te downloaden.
Microsoft product geweest dan had er gestaan:
'GnuPG lekker dan een mandje'
of
'GnuPG bevat al maanden opzettelijk NSA CIA lek?'
of
'OpenSource faalt, geheime diensten kunnen meekijken met Al Quada'
'Belangrijke update voor GnuPG'; dat klinkt wel heel lief.
Was dit een
Microsoft product geweest dan had er gestaan:
'GnuPG lekker dan een mandje'
of
'GnuPG bevat al maanden opzettelijk NSA CIA lek?'
of
'OpenSource faalt, geheime diensten kunnen meekijken met Al
Quada'
Heb je wrok of zo?
'Belangrijke update voor GnuPG'; dat klinkt wel heel lief. Was dit een
Microsoft product geweest dan had er gestaan:
'GnuPG lekker dan een mandje'
of
'GnuPG bevat al maanden opzettelijk NSA CIA lek?'
of
'OpenSource faalt, geheime diensten kunnen meekijken met Al Quada'
Als bovenstaande van toepassing had geweest op GnuPG dan had men dat
OOK gewoon gemeld aan hun gebruikers.
Dat is vrij normaal bij Open-Source toepassingen, dit in tegenstelling tot MS
dat 0day exploits maandenlang ongepatched laat zitten in hun OS.
In dat geval zou je best kunnen denken aan een opzettelijk lek voor
inlichtingen diensten......... :P
Voor de rest denk ik dat je zo knarrig reageert omdat je Windhoos Pc weer
eens niet doet wat je wilt, zeer traag is geworden door mal- en spyware en
een spambot is. (en dat allemaal zonder het zelf te weten)
Zo zie je maar, schrijf je eigen encryptiesoftware, want je
kan zelfs open source al niet meer vertrouwen. Roept hier
iemand XOR?
Ik hoor niemand Jos, want XOR is encoding, het is geen encryptie.
'Belangrijke update voor GnuPG'; dat klinkt wel heel lief.
Was dit een
Microsoft product geweest dan had er gestaan:
'GnuPG lekker dan een mandje'
of
'GnuPG bevat al maanden opzettelijk NSA CIA lek?'
of
'OpenSource faalt, geheime diensten kunnen meekijken met Al
Quada'
Heb je wrok of zo?
Nee, daar is geen reden toe. Ik vind het alleen leuk om te zien hoe luchtig
de reacties zijn in vergelijk tot berichtgeving rondom Microsoft producten.
Meten met twee maten en jezelf voor de gek houden; daar gaat het mij hier
om.
Mij zou het ook echt niet verbazen als over een paar jaar bekend wordt dat
de schuldige hiervoor 200K heeft ontvangen van een of andere duistere
organisatie.
Wel pijnlijk nieuws!
Wat moeten we nou gebruiken, want pgp is ook NSA-bende toch?
edit: dus niet wat user1 deed, alleen maar klagen, ik ben
wel benieuwd naar zijn alternatieven.
wat verwacht je nou? dat er een programma is dat perfect is
en nooit een fout zal bevatten? dat is simpel weg
onrealistisch, wat je ook gebruikt er zal altijd wel iets
mis mee gaan.
Wel pijnlijk nieuws!
Wat moeten we nou gebruiken, want pgp is ook NSA-bende toch?
edit: dus niet wat user1 deed, alleen maar klagen, ik ben
wel benieuwd naar zijn alternatieven.
wat verwacht je nou? dat er een programma is dat perfect is
en nooit een fout zal bevatten? dat is simpel weg
onrealistisch, wat je ook gebruikt er zal altijd wel iets
mis mee gaan.
Ik vond het nogal schokkend, want mij komt die exploit meer
over als een bewuste exploit die er misschien wel door de
NSA is ingezet ;)
Toch apart dat 1 of andere 'koekenbakker' van Gentoo die
fout moest vinden, terwijl die codekings van GnuPG die lek
ook wel hadden kunnen vinden ;)
Soms wordt je blind voor je eigen code.
Vrijdag "Beveiligingslek in driver Intel netwerkkaarten" en "Ernstig lek in
Windows Media Player 9 en 10" en hier spreekt men van een "belangrijke
update" :-) Wel een verschil he?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
