Lücke in GnuPG
Risiko: Mittel
Betroffene Systeme: GnuPG, Versionen bis einschließlich 1.4.2.1
Empfehlung
GnuPG-Version 1.4.2.2 installieren, in der der Fehler behoben wurde. Diese aktualisierte Version gibt es beim GnuPG-Projekt:
http://www.gnupg.org/download/
Linux-Anwender sollten in der Regel die Aktualisierungen ihres Linux-Distributors installieren.
Updates für Debian Linux: http://www.debian.org/security/2006/dsa-993
Updates für SUSE Linux: http://lists.suse.com/archive/suse-s…6-Mar/0003.html
Beschreibung
GnuPG (GNU Privacy Guard) ist eine freie Software zur Verschlüsselung und Signierung von Daten nach dem PGP-Standard.
In GnuPG wurde eine Schwachstelle bei der Überprüfung von Signaturen entdeckt. Unter Umständen wird die Signatur eines Dokuments als korrekt angezeigt, obwohl dieses Dokument nachträglich verändert wurde. Ein Angreifer kann so beliebige Daten in ein bereits signiertes Dokument einfügen, ohne dass diese Manipulation bei der Verifikation der Signatur festgestellt wird.
Diese Schwachstelle tritt nicht bei Signaturen auf, die getrennt von dem zu signierenden Dokument an dieses angehängt sind (sog. "Detached Signatures"), z.B. in einer eigenen Datei. Signaturen, die z.B. in verschlüsselten Dokumenten integriert sind, sind dagegen von diesem Problem betroffen.
Quelle: http://www.buerger-cert.de