Verschlüsselung: GnuPG verschärft Integritäts-Checks

Als Folge der Efail-Probleme erzwingt GnuPG 2.2.8 jetzt die Verwendung von Prüfcodes. Außerdem beseitigt das Update ein neu entdecktes Sicherheitsproblem.

Der Verfasser einer verschlüsselten E-Mail kann den Namen der enthaltenen Dateien recht frei festlegen. GnuPG versäumte es, die ausreichend zu checken; so konnte ein Angreifer unter anderem Zeilenumbrüche und Steuerzeichen einbetten, die GnuPG dann mit seinen Statusmeldungen mit ausgab. Auf diesem Weg konnte ein Angreifer einem Programm etwa eine erfolgreiche Signaturprüfung vorgaukeln.

Diesen Fehler hatte Marcus Brinkmann entdeckt (CVE-2018-12020). Die soeben veröffentlichte Version GnuPG Version 2.2.8 macht damit Schluss. Das Kommandozeilen-Programm GnuPG wird von vielen Programmen für Krypto-Operationen mit PGP […]

Quelle: Verschlüsselung: GnuPG verschärft Integritäts-Checks | heise Security