06.03 // Софт // Важное обновление GnuPG

Вернер Кох выпустил уведомление о выявлении неприятной уязвимости в GnuPG. По существу, это не является чем-то новым, но предложенная методика существенно упрощает атаку.

Проблема заключается в том, что при использовании пайпов и перенаправления вывода от программы злоумышленник (в определенных случаях) может внедрить ложный текст в сообщение, заверенное "прозрачной" подписью (clear-signed), или зашифрованное и подписанное в обычном inline-формате. Делается, к примеру, так:

echo "Зловредный текст, внедряемый в письмо" > foobar.txt gpg -z0 --output prefix.gpg --store foobar.txt cat prefix.gpg original-signed-message.gpg > forged.gpg

Что, в результате, выдаст:

$ gpg <forged.gpg Зловредный текст, внедряемый в письмо Either I'm dead or my watch has stopped. -- Groucho Marx's last words gpg: Signature made Mon Feb 26 09:57:04 2007 CET using DSA key ID 68697734 gpg: Good signature from "Alfa Test (demo key) <alfa@example.net>" [...]

Обычно редиректы не используются при работе с GnuPG из командной строки, но они часто применяются графическими надстройками и мэйл-клиентами, использующими GnuPG для защиты сообщений и файлов (Enigmail является одним из примеров). Если программа-фронт-энд не использует интерфейс статус-кодов GnuPG, то такая атака может сработать.

Ряд контрмер, обнаруживающих такие вставки, реализован в выпущенных версия 1.4.7 и 2.0.3, всем пользователям настоятельно рекомендовано обновиться. Стоит учесть, что некоторые программы не смогут работать с этими версиями GnuPG (именно из-за изменений в механизме вывода открытого текста сообщений), но это уже проблема подобных программ, которая подлежит исправлению.

Источник: http://mozdev.org/pipermail/enigmail/2007-March/007569.html