Open Source im professionellen Einsatz

Sicherheitslücken in GnuPG und Libgcrypt gefixt

19.08.2016

Das GnuPG-Projekt hat zwei als kritisch eingestufte Sicherheitslücken durch neue Versionen von GnuPG und Libgcrypt geschlossen.

137

Die Sicherheitslücken hatten Felix Dörre und Vladimir Klebanov vom Karlsruher Institut für Technologie (KIT) entdeckt. Ein Problem steckte im Zufallszahlengenerator von Libgcrypt. Ein Angreifer, dem es gelingt, an 4640 Bit des Random Number Generator zu gelangen, können auf einfachem Weg auf die nächsten 160 Bit schließen. Der Fehler bestehe seit 1998 in allen GnuPG- und Libgcrypt-Versionen, schreibt Werner Koch, Betreuer von GnuPG. Wie Koch weiter schreibt, haben erste Analysen ergeben, dass RSA-Keys davon nicht betroffen sind. Bei DSA- und Elgamal-Keys sei es zumindest unwahrscheinlich, dass der private Schlüssel durch öffentlich zugängliche Informationen vorhersagbar sei, meint Koch. Er rät zur Besonnenheit und dazu, nicht überhastet Keys zurückzuziehen.

Das Einspielen des Updates ist aber dennoch schnellsten empfohlen. Werner Koch hat in seiner Mail die verschiedenen gefixten Versionen und ihre Downloadmöglichkeiten verlinkt.

Ähnliche Artikel

  • Libgcrypt 1.8.0 mit Blake-2 und XTS

    Die universelle Verschlüsselungs-Bibliothek Libgcrypt, die vom GnuPG-Projekt betreut wird, hat mit Version 1.8.0 eine neue stabile Version erreicht.

  • Brave GNU World

    Diese Kolumne berichtet über aktuelle Entwicklungen innerhalb des GNU-Projektes und versucht, Einblicke in die zugrundeliegende Philosophie zu vermitteln. In dieser Ausgabe: GCompris, FSFE - freie Software und Bildung, Chemical Development Kit, Alma und Libgcrypt.Georg C. F. Greve

  • PostgreSQL bekommt Security-Update

    Die Development Group der Datenbank Postgre SQL hat Sicherheitsupdate für alle unterstützten Versionen herausgegeben.

  • Firefox 3.5.2 schließt Sicherheitslücken

    Mit der Veröffentlichung von Firefox 3.5.2 behebt Mozilla einige Probleme und Sicherheitslücken in seinem Browser und empfiehlt auch Nutzern der Version 3.0.x wegen Altlasten ein Update auf die 3.5.

  • Sicherheitslücken in Rubygems

    Im Paketsystem Rubygems der Programmiersprache Rubys sind vier Schwachstellen entdeckt worden.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.