PGP 7 mit kritischer Sicherheitslücke

7. September 2002, 10:25
posten

Corporate Editions 7.1.0 und 7.1.1 können nicht mit langen Dateinamen

In der Corporate Version von PGP ist eine Sicherheitslücke aufgetaucht, die es Angreifern möglicherweise gestattet beliebigen Code auszuführen. Laut Angaben der Programmierer von Foundstone, die die Lücke entdeckten, sind die Versionen 7.1.0 und 7.1.1 der Corporate Edition betroffen. Foundstone bezeichnet die Lücke als kritisch.

Zu lange Dateinamen

Der Fehler tritt im Umgang mit langen Dateinamen innerhalb eines PGP-verschlüsselten Archivs auf. Sofern ein einzelner Dateiname mehr als 200 Zeichen aufweist, kommt es zu einem so genannten Buffer Overflow. Laut Hersteller gibt es derzeit noch kein Exploit das diesen Fehler ausnützt. Doch hat Network Associates bereit einen Hotfix zum Download bereit gestellt. Networks besitzt noch bis 25. Oktober die Rechte und den Support von PGP - ab 27. Oktober findet sich die Verschlüsselungssoftware als PGP neu wieder auf einer eigenen Webseite.(red)

Share if you care.