Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, klientprogramvara, krypto

SR07-040 CORE-2007-0115 - GnuPG och GnuPG-klienter sårbara

GnuPG, med klienter, kan medge att godtycklig text adderas till ett signerat meddelande.

Problembeskrivning

CVE-referens: CVE-2007-1263 CVE-2007-1264 CVE-2007-1265 CVE-2007-1266 CVE-2007-1267 CVE-2007-1268 CVE-2007-1269

Gerardo Richarte vid Core Security Technologies har upptäckt en sårbarhet i GnuPG, och en rad klienter som använder GnuPG. Sårbarheten uppstår som en följd av hur information om signerat data visas för användaren, och är inte ett kryptografiskt problem. Problemet ligger i hur GnuPG och klienter använder de funktioner som tillåter programvaran att avgöra vilka olika delar som ingår i ett meddelande. Vid en framgångsrik attack kan en angripare addera information till ett signerat meddelande; information som kommer att se signerad ut.

Påverkade versioner

  • GnuPG 1.4.6 och tidigare
  • Enigmail 0.94.2 och tidigare
  • KMail 1.9.5 och tidigare
  • Evolution 2.8.1 och tidigare
  • Sylpheed 2.2.7 och tidigare
  • Mutt 1.5.13 och tidigare
  • GNUMail 1.1.2 och tidigare
  • Andra GnuPG-klienter som ovan för GnuPG

Mer information och programrättningar

http://www.coresecurity.com/?action=item&id=1687
http://www.gnupg.org/download/