1. OpenBao 2.5.x 分支存在可觸達的密碼學漏洞 (GO-2026-4550),影響 PGP 金鑰加密/解密功能
在 OpenBao 專案的 `release/2.5.x` 分支中,發現一個可觸達的軟體漏洞,標示為 GO-2026-4550。此漏洞根源於專案所依賴的第三方密碼學函式庫 CIRCL(由 Cloudflare 維護),該函式庫在 secp384r1 橢圓曲線的 CombinedMult 運算中存在計算錯誤。 漏洞影響 OpenBao 中與 PGP 金鑰處理相關的核心功能。具體受影響的程式碼位置包括 `helper/pgpkeys/encrypt_decrypt.go` 檔案中的 `DecryptBytes` 與 `EncryptShares` 函式,以及 `vault/seal.go` 的初始化函式。這些函式負責金鑰份額的加密、解...