DFN-CERT

Advisory-Archiv

2018-1113: GnuPG: Eine Schwachstelle ermöglicht die Darstellung falscher Informationen

Historie:

Version 1 (2018-06-11 12:19)
Neues Advisory
Version 2 (2018-06-12 11:32)
Für Fedora 27 und 28 stehen weitere Sicherheitsupdates im Status 'testing' zur Verfügung, durch die 'gnupg' auf Version 2.2.8 und 'libgpg-error' auf Version 1.31 aktualisiert werden. Canonical stellt für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 17.10 und Ubuntu 18.04 LTS Sicherheitsupdates bereit, die zusätzlich die Schwachstelle CVE-2018-9234 adressieren, die einem lokalen, einfach authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen ermöglicht.
Version 3 (2018-06-15 10:33)
Canonical stellt ein Sicherheitsupdate zur Behebung der Schwachstelle in 'gnupg2' für Ubuntu 14.04 LTS und 16.04 LTS bereit. Der Hersteller erwähnt im zugehörigen Sicherheitshinweis, dass das frühere Sicherheitsupdate USN-3675-1 für 'gnupg2' nur Ubuntu 17.10 und 18.04 LTS betraf.
Version 4 (2018-06-15 15:08)
Für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4 sowie für SUSE Linux Enterprise Debuginfo 11 SP3 und SP4 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'gpg2' bereit.
Version 5 (2018-06-18 14:21)
Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'gnupg-1.4.23-1.fc27' und 'gnupg-1.4.23-1.fc28' zur Behebung der Schwachstelle im Status 'testing' bereit. Die Software wird damit auf Version 1.4.3 aktualisiert. Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'python-python-gnupg' auf Version 0.4.3 bereit, für openSUSE Leap 15.0 und 42.3 stehen zusätzliche Sicherheitsupdates für 'gpg2' zur Behebung der Schwachstelle zur Verfügung. Für SUSE Linux Enterprise Server 12 SP3, 12 SP2 LTSS, 12 SP1 LTSS, 12 LTSS, Server for SAP 12 SP1 und SP2, Desktop 12 SP3 sowie SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4, SUSE Container as a Service Platform ALL und OpenStack Cloud Magnum Orchestration 7 stehen ebenfalls Sicherheitsupdates für 'gpg2' zur Behebung der Schwachstelle bereit.
Version 6 (2018-06-18 19:21)
Für Ubuntu 12.04 ESM steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'gnupg' bereit.
Version 7 (2018-06-26 18:13)
Für das SUSE Linux Enterprise Module for Basesystem 15 steht ein Sicherheitsupdate für 'gpg2' bereit, mit dem die Schwachstelle behoben wird.
Version 8 (2018-07-12 11:43)
Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 und 7 Produkte Server, Scientific Computing, Workstation und Desktop sowie für EUS Compute Node 7.5 und Server Extended Life Cycle Support 6, Extended Update Support 7.5 und for ARM 7 Sicherheitsupdates für 'gnupg2', um die Schwachstelle zu beheben. Oracle stellt korrespondierend 'gnupg2'-Sicherheitsupdates für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (aarch64, x86_64) bereit.
Version 9 (2018-07-13 14:24)
Für Oracle VM 3.3 und 3.4 stehen Sicherheitsupdates für 'gnupg2' zur Verfügung mit denen die Schwachstelle behoben wird.
Version 10 (2018-10-19 11:42)
SUSE veröffentlicht für SUSE Linux Enterprise Server 12 SP2 BCL ein Sicherheitsupdate für 'gpg2', um die Schwachstelle zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Linux
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in GnuPG ausnutzen, um den Validierungsstatus von signierten oder verschlüsselten Nachrichten zu manipulieren und dadurch falsche Informationen darzustellen.

Der Hersteller informiert über die Schwachstelle und stellt GnuPG 2.2.8 als Sicherheitsupdate zur Verfügung. Am Ende der Release Notes wird ein Test beschrieben, mit dem eigene Systeme auf Verwundbarkeit geprüft werden können.

Debian stellt für Debian Jessie (oldstable, EOL) und Stretch (stable) Backport-Sicherheitsupdates für 'gnupg' bzw. 'gnupg1' und 'gnupg2' zur Behebung der Schwachstelle bereit.

Für Fedora 27 und 28 stehen Backport-Sicherheitsupdates im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2018-12020

Schwachstelle in GnuPG und Enigmail ermöglicht Darstellung falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.