DFN-CERT-2013-1843 GnuPG2: Mehrere Schwachstellen ermöglichen Zugriffe auf vertrauliche Informationen [Linux][RedHat]

DFN-CERT-2013-1843 GnuPG2: Mehrere Schwachstellen ermöglichen Zugriffe auf vertrauliche Informationen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GnuPG <= 2.0.21 Red Hat Enterprise Linux <= 5 Client Red Hat Enterprise Linux <= 5 Server Red Hat Enterprise Linux <= 6 Betroffene Plattformen: Linux RedHat Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um Zugriff auf vertrauliche Informationen zu erlangen. Patch: Red Hat Security Advisory RHSA-2013-1459 http://rhn.redhat.com/errata/RHSA-2013-1459.html

CVE-2012-6085: Schwachstelle beim Import von manipulierten
OpenPGP-Schlüsseln

In GnuPG kann eine Verletzung von Speicherstrukturen beim Import von
manipulierten OpenPGP-Schlüsseln auftreten. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um GnuPG zum
Absturz zu bringen und den Public-Keyring zu korrumpieren.

CVE-2013-4402: Schwachstelle im GnuPG Paket-Parser

Eine Schwachstelle bei GnuPG im Paket-Parser führt zu einer fehlerhaften
Verarbeitung von komprimierten Daten. Ein entfernter, nicht
authentifizierter Angreifer kann durch präparierte Eingabedaten eine
Endlosschleife erzeugen und einen Denial-of-Service-Zustand verursachen.

CVE-2013-4351: Fehlerhafte Schlüsselkennzeichenanzeige bei GnuPG

Eine Schwachstelle in GnuPG interpretiert die Schlüsselkennzeichen nicht
korrekt. Ein Angreifer kann durch einen präparierten Schlüssel oder
Unterschlüssel, bei dem alle Kennzeichen “an” sind, durch die fehlerhafte
Anzeige eine falsche Identifizierung gegenüber dem Benutzer und davon
ausgehend einen Verlust der Vertraulichkeit gesendeter Nachrichten
erreichen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1843/

Schwachstelle CVE-2013-4351 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4351

Schwachstelle CVE-2013-4402 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4402

Schwachstelle CVE-2012-6085 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6085

Red Hat Security Advisory RHSA-2013-1459:
http://rhn.redhat.com/errata/RHSA-2013-1459.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben