Összefoglaló
A GnuPG egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak a felhasználói rendszerek feltörésére.
Leírás
A sérülékenységet a GPGSM eszköz felszabadítás utáni használatból eredő hibája okozza, ha a feldolgozott tanúsítványoknak több mint 98 al-név változata van (Subject Alternate Name). Ez kihasználható az alkalmazás összeomlásának előidézésére, és tetszőleges kód lefuttatására, ha a felhasználó egy speciálisan erre a célra elkészített tanúsítvány feldolgozásához a GPGSM eszközt használja.
A sérülékenységet a 2.0.16. verzióban jelentették. Más GnuPG 2.x verziók is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: lists.gnupg.org
SECUNIA 38877
Egyéb referencia: www.vupen.com