Veschlüsselungssoftware GnuPG lässt sich austricksen

17. März 2006, 10:20
1 Posting

Signierte Nachrichten können manipuliert werden - Update steht bereit

Mit einem gravierenden Sicherheitsproblem sehen sich die BenutzerInnen der Open Source-Verschlüsselungssoftware GnuPG konfrontiert: Aufgrund eines Bugs in der Signaturüberprüfung können von Dritten in entsprechende Nachrichten weitere Daten eingefügt werden, ohne dass es den EmpfängerInnen auffällt, da die Signatur als korrekt angzeigt wird.

Details

In einem Mail an die GnuPG-Mailing Liste liefert der Entdecker der Lücke, Werner Koch, weitere Details. So ist das Austricksen nur bei Nachrichten möglich, bei denen die Signatur nicht seperat abgelegt ist.

Fix

Mittlerweile wurde eine fehlerbereinigte Version 1.4.2.2 veröffentlicht, in der der Bug nicht mehr auftritt, ein Update ist dringend anzuraten. In der 1.9.x-Reihe tritt das Problem ohnehin nur auf, wenn man explizit auswählt auch "deprecated Code" zuzulassen. (red)

Link

GnuPG

Share if you care.