WinFuture-Forum.de: Gpg-bug Ermöglicht Einschleusung Unsignierter Daten - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Gpg-bug Ermöglicht Einschleusung Unsignierter Daten


#1 Mitglied ist offline   RemoM 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 13. März 06
  • Reputation: 0

geschrieben 13. März 2006 - 09:42

Tests zeigten bei aktuellen GnuPG-Versionen eine fehlerhaft Unterschriftenverifikation.
Hierbei können unsignierter Daten gebracht werden.
Dieses neue Problem betrifft die Verwendung von gpg zur Prüfung nicht abgetrennten Unterschriften.
Das Problem betrifft auch die Prüfung von Unterschriften, die in verschlüsselten Botschaften
eingebettet sind, d.h. der Standardverwendung von GPG für E-Mails.

Eine fehlerbereinigte Version 1.4.2.2 steht zur Verfügung.

Quelle: GnuPG.org - http://www.gnupg.org/(de)/news.html (Meldung vom 09.03.2006)
0

Anzeige



#2 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 13. März 2006 - 10:31

Genauer gesagt besteht das Problem darin, daß man unsignierte Daten vorne an eine signierte Nachricht anhängen kann und die Ausgabe den Eindruck erweckt, daß sich die Signatur mit auf die abgehängten Daten bezieht.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#3 Mitglied ist offline   RemoM 

  • Gruppe: Mitglieder
  • Beiträge: 3
  • Beigetreten: 13. März 06
  • Reputation: 0

geschrieben 13. März 2006 - 11:15

Beitrag anzeigenZitat (Rika: 13.03.2006, 10:31)

Genauer gesagt besteht das Problem darin, daß man unsignierte Daten vorne an eine signierte Nachricht anhängen kann und die Ausgabe den Eindruck erweckt, daß sich die Signatur mit auf die abgehängten Daten bezieht.


Richtig. Der Download-Link auf Gnupg.org ist zur Zeit etwas down.
Dafür geht dieser:
http://ftp.se.linux.org/crypto/gnupg/binar...cli-1.4.2.2.exe
ca. 1,4 MB
0

#4 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 13. März 2006 - 12:03

Die Standard-Binaries sind doch sowieso Müll. Es fehlen die Unterstützung für SHA256/384/512,TWOFISH,CAST5, RSA-S/E, BZIP2 und der SmartCard-Support, außerdem einige der Protokoll-Handler. Zudem sind Curl und Zlib statisch gelinkt.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0