id: Гость   вход   регистрация
текущее время 21:43 30/03/2020
Автор темы: Гость, тема открыта 19/02/2006 00:05 Печать
http://www.pgpru.com/Форум/РаботаСGnuPG/ОбходОграниченийБезопасностиВGnuPG
создать
просмотр
ссылки

Обход ограничений безопасности в GnuPG


Взято с http://www.securitylab.ru/vulnerability/262706.php



17 февраля, 2006
Программа: GnuPG версии до 1.4.2.1


Опасность: Низкая


Наличие эксплоита: Нет


Описание:
Удаленный пользователь может обойти ограничения безопасности.


Уязвимость существует из-за того, что "gpgv" завершается с кодом 0 даже если прикрепленный файл подписи не содержит подпись. Приложения, использующие "gpgv" для проверки подлинности могут некорректно определять подпись. Для успешной эксплуатации уязвимости сценарий, определяющий подлинность подписи должен использовать "gpgv" или "gpg --verify" и полагаться на ответ приложения.


URL производителя: www.gnupg.org


Решение: Установите последнюю версию (1.4.2.1) с сайта производителя.


Источник:
False positive signature verification in GnuPG


 
Комментарии
— Lustermaf (19/02/2006 00:34)   профиль/связь   <#>
комментариев: 225   документов: 8   редакций: 2
Оригинальное сообщение:
http://lists.gnupg.org/piperma.....e/2006q1/000211.html

Как написал Patrick Brunschwig, пользователей Enigmail эта уязвимость не затрагивает:
[quote:69f429b669="Patrick Brunschwig"]The GnuPG team has released the security alert below. Please note that
Enigmail uses GnuPG in a way that it is *not* affected by the bug
reported, i.e. Enigmail determines the validity of a signature using
– --status-fd.

– -Patrick
]>
Пользователей WinPT это тоже не касается, т.к. эта программа использует GPGME:
[quote:69f429b669="Werner Koch"]Applications using the GPGME library[2] are not affected.
]>
Тех, кто использует GnuPG через консоль/командную строку, эта уязвимость тоже не затрагивает:
[quote:69f429b669="Werner Koch"]There is no problem using GnuPG in an interactive way because GnuPG
won't print any signature status at all; i.e. no "Good signature".
]>
Пользователям GPGshell также не о чем беспокоиться, т.к. это приложение берёт данные о подлинности подписи из консоли GnuPG.
— Федор (02/04/2008 11:57)   <#>
Повреждение памяти в версиях 1.4.8 и 2.0.8, возможно, и более ранние версии, и потенциальная возможность использования этой уязвимости злоумышленниками.

Источник: http://secunia.com/advisories/29568/

Обновите до версии 1.4.9 или 2.0.9
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3