Neue GnuPG-Version behebt Fehler [Update]
Mit der neuen Version 1.4.5 schließen die Entwickler weitere neue Sicherheitslücken ähnlich derer, wie sie schon mit Version 1.4.4 behoben wurden.
Die Entwickler der Open-Source-PGP-Alternative GnuPG haben eine neue Version der Verschlüsselungssoftware herausgegeben. Diese stopft zwei weitere Sicherheitslecks, wie sie schon mit Version 1.4.4 behoben wurden.
Die mit GnuPG 1.4.4 geschlossene Schwachstelle führte zu einem Integer-Überlauf beim Entschlüsseln überlanger User-IDs, in dessen Folge ein zu kleiner Speicherbereich reserviert wurde. Dies führte zu einem Denial of Service, da das Programm abstürzte. Schon damals räumten die Entwickler die Möglichkeit ein, dass durch die Schwachstelle Schadcode eingeschleust werden könnte. In der Ankündigung der GnuPG-Version 1.4.5 formuliert der Entwickler Werner Koch dies so: Die Ausführung von eingeschleustem Code ist nicht komplett unmöglich.
Unklar ist zurzeit, ob auch dieses Mal die Einschränkung zutrifft, dass der Fehler nur dann auftritt, wenn bei der Verarbeitung die Option --no-armor benutzt wird, die GnuPG signalisiert, dass es sich um Daten handelt, die nicht im üblichen "ASCII-Armored"-Format vorliegen. Version 1.4.5 von GnuPG behebt weiterhin ein Problem, das beim Ablegen von Schlüsseln auf Smartcards auftreten konnte. Außerdem können sich norwegische Nutzer jetzt in ihrer Muttersprache mit dem Progamm verständigen.
Nutzer von GnuPG sollten ein Update auf die neue Version in Erwägung ziehen, da das Einschmuggeln von Schadcode in den Vorgängerversionen nicht ausgeschlossen werden kann.
Update:
Werner Koch erklärte gegenüber heise Security, dass die Option --no-armor für das Auftreten der jetzt geschlossenen Fehler nicht nötig ist.
Siehe dazu auch: (dmk)
- GnuPG 1.4.5 released (another security fix), Ankündigung von Werner Koch
- Download der neuen Version
