In den Terminal-Routinen von GnuPG ist ein ungesicherter Format-String entdeckt worden.

Betroffene Systeme

• Alle Systeme, die GnuPG in den Versionen 1.0.5 und früher verwenden.

Typ der Verwundbarkeit
format string bug

Beschreibung
Eine der Routinen in GnuPG der Versionen 1.0.5 und früher, die zur Interaktion mit dem Benutzer verwendet werden, enthält einen ungesicherten Format-String für printf(). Da mit dieser Funktion auch Zeichenketten ausgegeben werden können, die aus nicht vertrauenswürdigen Quellen stammen, ist unter bestimmten Umständen ein Angreifer in der Lage, über diese Schwachstelle beliebigen Code auf dem System des Angegriffenen mit seinen Benutzerrechten auszuführen, wenn dieser eine entsprechend präparierte, OpenPGP-verschlüsselte Datei zu entschlüsseln versucht. Benutzer, die GnuPG nur von den Programmen mutt oder Gnus aus verwenden und keine Dateien über die Kommandozeile entschlüsseln, sind von dieser Schwachstelle nicht direkt betroffen.

Auswirkung
Kompromittierung des betroffenen Accounts

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

• Installation von GnuPG 1.0.6.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/