CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2022-3219

Low
Published: Translated: NVD NIST

Summary

GnuPG może zostać zmuszony do nieustannego przetwarzania w przypadku podania stosunkowo małego wejścia, na przykład poprzez stworzenie klucza publicznego z tysiącami podpisów, skompresowanego do zaledwie kilku KB.

Risk Assessment

Atakujący może wykorzystać tę podatność do wywołania nadmiernego obciążenia systemu, co może prowadzić do odmowy usługi. To stwarza ryzyko dla dostępności usług korzystających z GnuPG.

Recommendation

Zaleca się monitorowanie użycia GnuPG oraz wprowadzenie ograniczeń na liczbę podpisów w kluczach publicznych, aby zminimalizować ryzyko wystąpienia tej podatności.

Original NVD description (English source)

GnuPG can be made to spin on a relatively small input by (for example) crafting a public key with thousands of signatures attached, compressed down to just a few KB.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS