You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1336

[Generic/GnuPG] Pufferüberlaufschwachstelle in GnuPG 1.4 und 2.0
(2006-11-28 13:25:00.034178+00) Druckversion

Quelle: http://archive.cert.uni-stuttgart.de/archive/bugtraq/2006/11/msg00540.html

Eine Pufferüberlaufschwachstelle im kryptographischen Werkzeug GnuPG kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des gpg-Benutzers auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

  • GnuPG 1.4.5 und früher
  • GnuPG 2.0.0 und früher

Nicht betroffene Systeme

  • gpg-agent
  • gpgsm
  • gpgv
  • andere Werkzeuge der GnuPG Suite
  • Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Verarbeitung einer OpenPGP-Nachricht durch gpg im Interaktivmodus

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien den gpg-Benutzers auf dem beherbergenden Rechnersystem
((remote) user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Pufferüberlaufschwachstelle im kryptographischen Werkzeug GnuPG der Versionsbäume 1.4.x und 2.0.x und früher kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des gpg-Benutzers auf dem beherbergenden Rechnersystem auszuführen. Dabei ist es ausreichend, wenn der Benutzer mit GnuPG im Interaktivmodus eine entsprechend präparierte Nachricht verarbeitet. Ein Quellcodepatch ist verfügbar.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V 1.0 Kurzmeldung veröffentlicht (2006-11-28)
  • V 1.1 Zur Vollmeldung erweitert (2006-11-29)
  • V 1.2 CVE-Namen eingepflegt (2006-11-29)
  • V 1.3 Links zu Distributor-Paketen eingepflegt (2006-12-08)
  • V 1.4 Weitere Links zu Distributor-Paketen eingepflegt (2006-12-11)

(og)

Weitere Artikel zu diesem Thema:

  • [Generic/GnuPG] Weitere Schwachstelle in GnuPG (2006-12-08)
    In den GnuPG-Versionen vor 1.4.6 und 2.0.2 kann eine Schwachstelle von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des gpg aufrufenden Benutzers auf dem beherbergenden Rechnersystem auszuführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.