受影响系统:
gnu privacy guard < 1.4.2.2 不受影响系统:
gnu privacy guard 1.4.2.2 描述:
gnupg是基于openpgp标准的pgp加密、解密、签名工具。
gnupg在处理邮件内置的签名时存在验证漏洞,攻击者可能利用此漏洞在邮件中插入额外的数据。
gnupg在提取已签名的数据时,数据可能前置或后缀了签名没有没有覆盖到的额外数据,这样攻击者就可以利用签名消息注入额外的任意数据。
补丁下载:
debian
debian已经为此发布了一个安全公告(dsa-993-2)以及相应补丁:
dsa-993-2:new gnupg packages fix broken signature check
链接:http://www.debian.org/security/2005/dsa-993
|
