Libgcrypt 安全漏洞总结 漏洞概述 Libgcrypt 库存在两个关键安全漏洞: 1. CVE-2020-25519:ECDH 加密存在缓冲区溢出漏洞,攻击者可利用此漏洞通过 ECDH 加密(使用 NIST、Brainpool、M448 或 X25519 曲线)执行任意代码 2. CVE-2020-28208:Dilithium 签名算法存在另一个安全漏洞 影响范围 受影响版本:所有 Libgcrypt 版本 不受影响版本:GnuPG 2.5.7 及更高版本(因使用不同的加密 API) 受影响功能: - ECDH 加密(NIST、Brainpool、M448、X25519 曲线) - Dilithium 签名算法(自 1.12.0 版本起可用) 修复方案 升级到以下版本: 1.12.2(2020-04-15 发布) 1.11.3(2020-04-21 发布) 1.10.4(2020-04-21 发布) 具体修复内容: 修复 ECDH 缓冲区溢出问题(CVE-2020-25519) 添加对 Dilithium 签名算法的边界检查 在使用新 KEM 接口时添加点验证 修复 RSA 密钥检查中的死代码问题 修复其他编译器错误和栈溢出问题 下载链接: 源码包:https://gnupg.org/ftp/crypto/libgcrypt/ 签名文件:https://gnupg.org/ftp/crypto/libgcrypt/ 验证方法: 使用 GPG 验证签名: 或使用 SHA256 校验和验证文件完整性。