Neue Versionen von GnuPG schließen Sicherheitslücke [Update]

Für GnuPG, die Open-Source-Implementierung von PGP, stehen neue Versionen zur Verfügung, die eine Denial-of-Service-Schwachstelle beheben sollen. Zu lange User-ID führen beim Entschlüsseln zu einem Integer Overflow beim Einlesen, in dessen Folge die Anwendung abstürzt. Unter Umständen soll sich sogar darüber Code einschleusen und ausführen lassen. Der Fehler tritt jedoch nur dann auf, wenn bei der Verarbeitung die Option --no-armor benutzt wird, die GnuPG signalisiert, dass es sich um Daten handelt, die nicht im üblichen "ASCII-Armored"-Format vorliegen. Betroffen sind GnuPG 1.4.3 und vorhergehende sowie 1.9.20 und vorhergehende.

Update
Nach Angaben von Werner Koch ist die Version 1.9.20 zwar im Prinzip betroffen, der relevante gpg-Teil wird aber normalerweise nicht gebaut. Falls doch, gebe er deutliche Hinweise, dass er nicht benutzt werden soll, da er veraltet sei. Derzeit arbeiten die Entwickler an einer Integration von gpg 1.4.4 (OpenPGP) in GnuPG 1.9.x (S/MIME) um dieses Jahr noch Version 2.0 herausbringen zu können. Damit soll die gleichzeitige Installation beider Versionen überflüssig werden. Desweiteren hat Koch soeben gpg4win 1.0.3 mit der gefixten GnuPG-Version freigegeben.

Siehe dazu auch: (dab)

• GnuPG 1.4.4 released (security bug fix), Ankündigung von Werner Koch