События

Уязвимость в GnuPG позволяет подменить цифровую подпись сообщения

Команда проекта Gnu выпустила новую версию инструмента GnuPG, в которой устранена уязвимость, позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Проблема, получившая название SigSpoof, затрагивает GnuPG, Enigmail, GPGTools, пакет python-gnupg и, возможно, другие приложения, использующие GnuPG.

Уязвимость (CVE-2018-12020) существует из-за отсутствия надлежащей проверки имени файла, который может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле. В процессе расшифровки и проверки цифровой подписи данное имя выводится на экран или в лог, но из-за отсутствия проверки может включать управляющие символы, в том числе перевод строки и команды для манипуляции терминалом.

«Атакующий может внедрить произвольные статусные сообщения GnuPG в парсер приложения и исказить результаты проверки цифровой подлинности и расшифровки сообщений», - пояснил специалист Маркус Бринкман (Marcus Brinkmann). Длина статусного сообщения не должна превышать 255 символов.

По словам эксперта, уязвимость проявляется только при активированной настройке verbose в gpg.conf, использующейся для выявления проблем или неожиданного поведения.

Вышеуказанная уязвимость устранена в версиях GnuPG version 2.2.8, Enigmail 2.0.7, GPGTools 2018.3, и python GnuPG 0.4.3.

В минувшем мае стало известно о ряде опасных уязвимостей в инструментах шифрования PGP и S/Mime, которые позволяют просматривать содержимое зашифрованных писем в виде простого текста.

GnuPG (GNU Privacy Guard) - свободная программа для шифрования информации и создания электронных цифровых подписей, разработанная в соответствии со стандартом OpenPGP. Создана как альтернатива PGP и выпущена под свободной лицензией GNU General Public License.

Источник

Автор: Сергей Куприянов
15.06.2018 (10:42)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.