GnuPG 2.2.23 schließt kritische Lücke

Logo von GnuPG | Quelle: GnuPG | Lizenz: Public Domain

Werner Koch, Entwickler von GNU Privacy Guard (GnuPG), gibt die sofortige Verfügbarkeit von GnuPG 2.2.23 bekannt. Die neue Version schließt eine kritische Sicherheitslücke in den Vorgängerversionen 2.2.21 und 2.2.22. Darüber hinaus ist auch Gpg4win 3.1.12 betroffen.

Lücke beim Import

Das Importieren eines OpenPGP-Schlüssels mit einer Präferenzliste für AEAD-Algorithmen kann zu einem Array-Überlauf und damit oft zu einem Absturz oder anderem undefiniertes Verhalten führen. [wiki title=”Authenticated_Encryption”]AEAD[/wiki] steht für Authenticated Encryption with Associated Data und stellt laut Wikipedia neben dem Schutz einer vertraulichen Nachricht die Authentizität und Integrität weiterer Daten sicher, die nicht verschlüsselt werden.

Nicht trivial auszunutzen

Das Importieren eines willkürlichen Schlüssels kann laut Koch oft leicht von einem Angreifer ausgelöst werden und damit diesen Fehler auslösen. Das Ausnutzen des Fehlers abgesehen von Abstürzen ist nicht trivial, aber wahrscheinlich für einen engagierten Angreifer möglich.

Software-Verteilung nicht betroffen

Die Hürde für einen Angreifer ist, dass nur jedes zweite Byte kontrolliert und manipuliert werden kann, jedes erste Byte hat dagegen einen festen Wert von 0x04. Eine Überprüfung bei der Software-Verteilung sollte von diesem Fehler nicht betroffen sein, weil ein solches System eine kuratierte Liste von Schlüsseln verwendet.

Zeitnah aktualisieren

Anwender, die Version 2.2.21 or 2.2.22 von GnuPG verwenden, sollten zeitnah auf GnuPG 2.2.23 aktualisieren. Für Anwender älterer Versionen oder einer Beta-Version von GnuPG 2.3 besteht kein dringender Handlungsbedarf. Bei Verwendung von Gpg4win 3.1.12 oder GnuPG VS-Desktop 3.1.12 sollte entweder auf einen zeitnah erscheinenden Fix gewartet werden oder GnuPG Version 2.2.23 darüber installiert werden. Anwender, die keine neue Version installieren können, sind mit der Anwendung eines Patches ebenfalls auf der sicheren Seite.

Neben dieser Sicherheitslücke wurde in GnuPG 2.2.23 unter anderem eine mögliche Schutzverletzung (segfault) und ein Fehler beim Parsing beseitigt. Zudem wurden Übersetzungen für Ungarisch, Polnisch, Tschechisch und Ukrainisch überarbeitet.

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
0 Kommentare
Inline Feedbacks
View all comments