2013-1748: GnuPG und GnuPG2: Schwachstellen ermöglichen Denial-of-Service bzw. Ausspähen von Informationen

Historie:

Version 1 (2013-10-14 13:30)

Neues Advisory

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Durch mittlerweile verfügbare Updates der GnuPG- bzw. GnuPG2-Pakete schließen verschiedene Distributionen (Debian, Ubuntu sowie Fedora, wobei Fedora allerdings das GnuPG2-Paket aufgrund einer weiteren Schwachstelle separat behandelt) gleich zwei Sicherheitslücken. Beide Schwachstellen können von entfernten, nicht authentifizierten Angreifern genutzt werden, um entweder einen Denial-of-Service-Angriff auszuführen oder dem Benutzer manipulierte Daten über öffentliche Schlüssel anzuzeigen und so z.B. in der Folge Informationen auszuspähen. Debian und Ubuntu haben sich entschlossen, Backports zum Schließen der Fehler zu benutzen, die in den Patch-Advisories der Hersteller angegebenen Versionsnummern sind daher ungleich 1.4.15 für GnuPG bzw. 2.0.22 für GnuPG2.

Schwachstellen:

CVE-2013-4351

Schwachstelle in GPG

CVE-2013-4402

Schwachstelle im GnuPG Paket-Parser

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.