Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-954

[MS/NAI PGP] Schwachstelle in PGP Corporate Desktop
(2002-09-06 14:10:10.504849+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/vulnwatch/2002/09/msg00008.html

Ein Fehler in NAI PGP ermöglicht es wahrscheinlich Angreifern, beliebigen Programmcode auf dem Opfersystem mit den Rechten des PGP-Nutzers auszuführen.

Betroffene Systeme

  • Systeme, die PGP Corporate Desktop 7.1.1 verwenden.
Ob weitere PGP-Versionen betroffen sind, ist nicht bekannt.

Einfallstor
Daten im OpenPGP-Format

Auswirkung
Ein Angreifer kann vermutlich beliebigen Code mit den Rechten des Anwenders ausführen
(remote user compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das OpenPGP-Format stellt eine Möglichkeit zur Verfügung, den Original-Dateinamen einer Datei, die verschlüsselt oder signiert wird, mit abzuspeichern, damit der Empfänger unabhängig vom Transportkanal den Original-Dateinamen wiederherstellen kann. PGP 7.1.1 versucht, den Original-Dateinamen (der maximal 255 Zeichen lang sein kann) in einem zu kurzem Puffer zu speichern, wodurch es zu einem Pufferüberlauf kommt. Wahrscheinlich ist es möglich, daß ein Angreifer diese Schwachstelle verwenden kann, um beliebigen Code mit den Rechten des PGP-Nutzers auszuführen. Da PGP regelmäßig in kritischen Umgebungen eingesetzt wird, ist diese Schwachstelle äußerst problematisch. Der gespeicherte Original-Dateiname ist unabhängig vom Dateinamen, der z.B. für ein PGP-Attachment angezeigt wird. Ein Angriffsversuch läßt sich also nicht vorher erkennen.)

Es ist damit zu rechnen, daß die PGP-Software (insbesondere die graphische Benutzungsoberfläche) weitere Probleme aufweist; da aber nur Teile des Quellcodes offenliegen, läßt sich dies nicht nachprüfen.

Dem ersten Augenschein zufolge besitzt PGP 2.6.3 die jetzt entdeckte Schwachstelle nicht; das RUS-CERT hat jedoch keine genaue Analyse vorgenommen. Da PGP 2.6.3 nicht mehr gewartet wird, ist vom Einsatz dieser Version abzuraten.

Gegenmaßnahmen

  • Installation eines Hotfixes von NAI. (Es handelt sich um den Patch "Outlook LFN".)

Vulnerability ID

Weitere Information zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.