IT обозрение


Новости интернета и компьютерных технологий

Уязвимость в GnuPG позволяет подменить цифровую подпись сообщения

16 июня
23:00 2018

Команда проекта Gnu выпустила новую версию инструмента GnuPG, в которой устранена уязвимость, позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Проблема, получившая название SigSpoof, затрагивает GnuPG, Enigmail, GPGTools, пакет python-gnupg и, возможно, другие приложения, использующие GnuPG.
Уязвимость (CVE-2018-12020) существует из-за отсутствия надлежащей проверки имени файла, который может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле. В процессе расшифровки и проверки цифровой подписи данное имя выводится на экран или в лог, но из-за отсутствия проверки может включать управляющие символы, в том числе перевод строки и команды для манипуляции терминалом.
«Атакующий может внедрить произвольные статусные сообщения GnuPG в парсер приложения и исказить результаты проверки цифровой подлинности и расшифровки сообщений», — пояснил специалист Маркус Бринкман (Marcus Brinkmann). Длина статусного сообщения не должна превышать 255 символов.
По словам эксперта, уязвимость проявляется только при активированной настройке verbose в gpg.conf, использующейся для выявления проблем или неожиданного поведения.
Вышеуказанная уязвимость устранена в версиях GnuPG version 2.2.8, Enigmail 2.0.7, GPGTools 2018.3, и python GnuPG 0.4.3.
В минувшем мае стало известно о ряде опасных уязвимостей в инструментах шифрования PGP и S/Mime, которые позволяют просматривать содержимое зашифрованных писем в виде простого текста.
GnuPG (GNU Privacy Guard) — свободная программа для шифрования информации и создания электронных цифровых подписей, разработанная в соответствии со стандартом OpenPGP. Создана как альтернатива PGP и выпущена под свободной лицензией GNU General Public License.

Источник: securitylab.ru


Статьи по теме

0 0 голос
Article Rating
Подписаться
Уведомить о
guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии

Последние новости

    Три детских приложения для Android могли незаконно собирать личные данные

11:29 Три детских приложения для Android могли незаконно собирать личные данные

0 комментариев Читать всю статью