CVE-2022-3219
LowSummary
GnuPG może zostać zmuszony do nieustannego przetwarzania w przypadku podania stosunkowo małego wejścia, na przykład poprzez stworzenie klucza publicznego z tysiącami podpisów, skompresowanego do zaledwie kilku KB.
Risk Assessment
Atakujący może wykorzystać tę podatność do wywołania nadmiernego obciążenia systemu, co może prowadzić do odmowy usługi. To stwarza ryzyko dla dostępności usług korzystających z GnuPG.
Recommendation
Zaleca się monitorowanie użycia GnuPG oraz wprowadzenie ograniczeń na liczbę podpisów w kluczach publicznych, aby zminimalizować ryzyko wystąpienia tej podatności.
Original NVD description (English source)
GnuPG can be made to spin on a relatively small input by (for example) crafting a public key with thousands of signatures attached, compressed down to just a few KB.

