Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-459

[NAI/PGP] Schwächen in der Anzeige von User-IDs I
(2001-09-04 13:46:47+00) Druckversion

Quelle: http://www.bluering.nl/pgp/useridbug.txt

In den PGP-Versionen 5 bis 7 wurde eine Schwachstelle bei der Verarbeitung und Präsentation von Benutzerkennungen (user IDs) entdeckt, die es einem Angreifer ermöglichen, beliebige User IDs auf einem bereits zertifizierten Schlüssel als signiert auszugeben.

Betroffene Systeme
Es sind Systeme betroffen, die folgende Produkte verwenden:

  • PGP 5 und PGP 6
  • PGP Corporate Desktop v7.1 (MacOS9/Win32)
  • PGP Personal Security v7.0.3 (MacOS9/Win32)
  • PGP Freeware v7.0.3 (MacOS9/Win32)
  • PGP E-Business Server v7.1 (Linux/Solaris/AIX/HPUX/Win32)
  • Produkte von anderen Herstellern, die das PGP-SDK verwenden.

Einfallstor
Import eines Schlüssels, der eine von einem (für das Opfer) vertrauenswürdigen Schlüssel zertifizierte User-ID aufweist, oder eines Schlüssels, bei dem dieses Zertifikat bereits im Schlüsselring des Opfers vorhanden ist.

Auswirkung
Die Angabe der User-ID durch PGP ist nicht mehr kryptographisch abgesichert und daher leicht fälschbar.

Typ der Verwundbarkeit
user interface design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im neuen V4-Signaturformat, welches mit OpenPGP (RFC 2440) eingeführt wurde, gibt es eine Möglichkeit, User-IDs per Selbstzertifikat als Haupt-User-ID zu markieren. Die verwundbaren PGP-Versionen nehmen selbst dann eine derartig markierte User-ID als Haupt-User-ID, wenn diese nicht von einem vertrauenswürdigen Schlüssel zertifiziert wurde. Da die Haupt-User-ID in den meisten Bildschirmmeldungen verwendet wird, führt das dazu, daß sich ein Angreifer mit seinem Schlüssel als jemand anderes ausgeben kann.

Gegenmaßnahmen

  • Installation des Updates, welches Network Associates zur Verfügung stellt.
Die PGP-Versionen 5 und 6 werden nicht mehr gepflegt; sie weisen teilweise ernsthafte Probleme auf. Von ihrem Einsatz ist generell abzuraten.

Weitere Informationen zu diesem Thema

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.