OpenAI нашла критическую дыру в GnuPG. Ваш софт для шифрования нуждается в срочном обновлении

Проект GnuPG выпустил обновление GnuPG 2.5.17, закрывающее критическую уязвимость в ветке 2.5.x. По сообщению из рассылки gnupg-announce, проблема затрагивает версии GnuPG 2.5.13, 2.5.14, 2.5.15 и 2.5.16, а также Windows-пакет Gpg4win 5.0.0 и несколько его бета-сборок. Остальные версии, как утверждают разработчики, не уязвимы.

Баг связан с обработкой CMS (S/MIME) EnvelopedData: специально сформированное сообщение с чрезмерно большим «обернутым» ключом сессии приводит к переполнению буфера стека в gpg-agent при обработке PKDECRYPT с параметром --kem=CMS. Такой сбой легко использовать для отказа в обслуживании, но разработчики предупреждают, что повреждение памяти «с высокой вероятностью» может быть превращено и в удаленное выполнение кода. Уязвимость появилась при изменении внутреннего API под KEM-интерфейс, необходимый для соответствия FIPS.

Идентификатор CVE для уязвимости пока не назначен, в трекере GnuPG она проходит как T8044. В письме указано, что уязвимость обнаружила команда OpenAI Security Research: отчет получили 18 января 2026 года, а исправленные релизы опубликовали 27 января 2026 года. Одновременно выпустили и обновление Windows-установщика: пользователям Gpg4win рекомендуют перейти на версию 5.0.1.

Разработчики советуют как можно быстрее обновиться до GnuPG 2.5.17 (и при необходимости проверить подпись, для чего опубликован файл .sig). Если срочное обновление невозможно, предлагается временная мера: удалить бинарник gpgsm (или gpgsm.exe), чтобы уязвимость нельзя было удаленно триггернуть через S/MIME. В релиз 2.5.17 также вошли другие исправления безопасности, а общая информация о выпуске собрана на странице Release-info.