Goodnews.ua


Уязвимость в GnuPG позволяет подменить цифровую подпись сообщения

Июнь 16
23:04 2018

Команда проекта Gnu выпустила новую версию инструмента GnuPG, в которой устранена уязвимость, позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Проблема, получившая название SigSpoof, затрагивает GnuPG, Enigmail, GPGTools, пакет python-gnupg и, возможно, другие приложения, использующие GnuPG.
Уязвимость (CVE-2018-12020) существует из-за отсутствия надлежащей проверки имени файла, который может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле. В процессе расшифровки и проверки цифровой подписи данное имя выводится на экран или в лог, но из-за отсутствия проверки может включать управляющие символы, в том числе перевод строки и команды для манипуляции терминалом.
«Атакующий может внедрить произвольные статусные сообщения GnuPG в парсер приложения и исказить результаты проверки цифровой подлинности и расшифровки сообщений», — пояснил специалист Маркус Бринкман (Marcus Brinkmann). Длина статусного сообщения не должна превышать 255 символов.
По словам эксперта, уязвимость проявляется только при активированной настройке verbose в gpg.conf, использующейся для выявления проблем или неожиданного поведения.
Вышеуказанная уязвимость устранена в версиях GnuPG version 2.2.8, Enigmail 2.0.7, GPGTools 2018.3, и python GnuPG 0.4.3.
В минувшем мае стало известно о ряде опасных уязвимостей в инструментах шифрования PGP и S/Mime, которые позволяют просматривать содержимое зашифрованных писем в виде простого текста.
GnuPG (GNU Privacy Guard) — свободная программа для шифрования информации и создания электронных цифровых подписей, разработанная в соответствии со стандартом OpenPGP. Создана как альтернатива PGP и выпущена под свободной лицензией GNU General Public License.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Экономисты рассказали, в какой валюте хранить сбережения и стоит ли сейчас продавать доллары

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua