Криптопротокол OpenPubkey доступен на GitHub в виде базового клиента

Татьяна Никитина 06 Октября 2023 - 18:19

Системы защиты от несанкционированного доступа

Средства криптографической защиты информации

...

Криптопротокол OpenPubkey доступен на GitHub в виде базового клиента

НКО Linux Foundation анонсировала запуск нового проекта с открытым исходным кодом — реализации криптографического протокола аутентификации OpenPubkey, способного повысить безопасность цепочек поставок программного обеспечения.

Концепция беспарольной аутентификации OpenPubkey была разработана в BastionZero для ее системы удаленного доступа с нулевым доверием. Технология позволяет в рамках системы единого входа OpenID Connect заверять сообщения и запросы пользователей цифровой подписью.

В роли удостоверяющего центра выступает поставщик идентификации (IdP). Ключ подписи и публичный генерируются на стороне пользователя при запуске процедуры аутентификации; публичный ключ затем отсылается IdP и вставляется в ID-токен, который таким образом превращается в сертификат.

Примечательно, что OpenPubkey не добавляет других доверенных сторон сверх тех, что необходимы для OpenID Connect. Система совместима с существующими OpenID-провайдерами — Google, Azure/Microsoft, Okta, Keycloak, OneLogin — и не требует от них изменений.

В настоящее время OpenPubkey уже используется как основа для подписывания контейнеров Docker. С запуском проекта Linux Foundation, для которого на GutHub уже создан репозиторий, технология станет доступной opensource-сообществу. Разработчики смогут создавать приложения безопасного удаленного доступа, выстраивать защищенные цепочки поставок, подписывая сборки, установки и вносимые в код изменения.

«Мы убеждены, что инициатива, способная предоставить opensource-комьюнити дополнительное средство защиты, сыграет решающую роль в укреплении его позиций, — заявил исполнительный директор Linux Foundation Джим Землин (Jim Zemlin). — Приглашаем разработчиков и организации присоединиться к коллективной работе над повышением безопасности цепочек поставок программного обеспечения».

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 10 Февраля 2026 - 19:26

Уязвимости программ Домашние пользователи Корпорации

30-летняя уязвимость в libpng поставила под удар миллионы приложений

Анонсирован выпуск libpng 1.6.55 с патчем для опасной уязвимости, которая была привнесена в код еще на стадии реализации проекта, то есть более 28 лет назад. Пользователям и разработчикам советуют как можно скорее произвести обновление.

Уязвимость-долгожитель в библиотеке для работы с растровой графикой в формате PNG классифицируется как переполнение буфера в куче, зарегистрирована под идентификатором CVE-2026-25646 и получила 8,3 балла по шкале CVSS.

Причиной появления проблемы является некорректная реализация API-функции png_set_dither(), имя которой было со временем изменено на png_set_quantize(). Этот механизм используется при чтении PNG-изображений для уменьшения количества цветов в соответствии с возможностями дисплея.

Переполнение буфера возникает при вызове png_set_quantize() без гистограммы и с палитрой, в два раза превышающей максимум для дисплея пользователя. Функция в результате уходит в бесконечный цикл, и происходит чтение за границей буфера.

Эту ошибку можно использовать с целью вызова состояния отказа в обслуживании (DoS). Теоретически CVE-2026-25646 также позволяет получить закрытую информацию или выполнить вредоносный код, если злоумышленнику удастся внести изменения в структуру памяти до вызова png_set_quantize().

Уязвимости подвержены все версии libpng, с 0.90 beta (а возможно, и с 0.88) до 1.6.54. Ввиду широкого использования библиотеки пользователям настоятельно рекомендуется перейти на сборку 1.6.55 от 10 февраля 2026 года.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »