DFN-CERT

Advisory-Archiv

2018-0693: GnuPG: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-04-12 15:20)
Neues Advisory
Version 2 (2023-09-28 17:05)
Für SUSE Linux Enterprise High Performance Computing 12 SP5, SUSE Linux Enterprise Server 12 SP5 und SUSE Linux Enterprise Server for SAP Applications 12 SP5 stehen Sicherheitsupdates für 'gpg2' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer mit niedrigen Privilegien, der Zugriff auf einen Subkey auf einer SmartCard eines Benutzers erlangt hat, kann die Schwachstelle lokal ausnutzen, um mit diesem Subkey die PGP-Schlüssel beliebiger Benutzer zu signieren/zertifizieren, ohne den zugehörigen Masterkey zu besitzen. Ferner hat der Eigentümer nicht die Möglichkeit, einen bereits fälschlicherweise zertifizierten Schlüssel mit seinem Masterkey erneut korrekt zu signieren. Falls die SmartCard geschützt ist, muss dieser Schutz zunächst überwunden werden.

GnuPG stellt die Version 2.2.6 zur Behebung der Schwachstelle zur Verfügung. In den Release Notes nutzt GnuPG den Bezeichner #3844 für die Schwachstelle CVE-2018-9234. Die Entwickler gehen davon aus, dass die Schwachstelle kein Sicherheitsproblem ist: auf die beschriebene Weise durchgeführte Zertifizierungen sind technisch ungültig, aber nicht als solches erkennbar. Der Patch besteht darin, dass bereits bestehende Zertifizierungen dieser Art fortan als ungültig erkannt werden und dass bei Zertifizierungsvorgängen über Subkeys geprüft wird, ob diese Subkeys überhaupt zur Zertifizierung berechtigt sind. Den Spezifikationen von OpenPGP kann nicht eindeutig entnommen werden, dass Subkeys andere Subkeys oder User-IDs zertifizieren dürfen.

Für Fedora 26 und 27 steht ein Sicherheitsupdate in Form der Pakete 'gnupg2-2.2.6-1.fc27' und 'gnupg2-2.2.6-1.fc26' im Status 'testing' zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2018-9234

Schwachstelle in GnuPG ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.