Netzpolitik
Veschlüsselungssoftware GnuPG lässt sich austricksen
Signierte Nachrichten können manipuliert werden - Update steht bereit
Mit einem gravierenden Sicherheitsproblem sehen sich die BenutzerInnen der Open Source-Verschlüsselungssoftware GnuPG
konfrontiert: Aufgrund eines Bugs in der Signaturüberprüfung können von Dritten in entsprechende Nachrichten weitere Daten eingefügt werden, ohne dass es den EmpfängerInnen auffällt, da die Signatur als korrekt angzeigt wird.
Details
In einem Mail an die GnuPG-Mailing Liste liefert der Entdecker der Lücke, Werner Koch, weitere Details. So ist das Austricksen nur bei Nachrichten möglich, bei denen die Signatur nicht seperat abgelegt ist.
Fix
Mittlerweile wurde eine fehlerbereinigte Version 1.4.2.2 veröffentlicht, in der der Bug nicht mehr auftritt, ein Update ist dringend anzuraten. In der 1.9.x-Reihe tritt das Problem ohnehin nur auf, wenn man explizit auswählt auch "deprecated Code" zuzulassen. (red)