openPGP в России

10.03 // Софт // GnuPG не обнаруживает вставку неподписанных данных

Программа: GnuPG версии до 1.4.2.2

Опасность: Выше средней

Описание: GnuPG некорректно обрабатывает составные мультипакетные несъемные (not detached) подписи. Сверка такой подписи может дать положительный результат даже при том, что подписанные данные могут быть дополнены неподписанными произвольными данными. В результате злоумышленник получает позможность вставить перед или после подписанных данных произвольный текст, который при сверке подписи будет также отображен как подписанный.

Данная уязвимость не распространяется на пакеты съемных подписей (detached signature). Дополнительные подробности доступны здесь^[link1].

URL производителя: http://www.gnupg.org

Решение: Установите последнюю версию (1.4.2.2) с сайта производителя.

Источник: "openPGP в России"^[link2]