Обход ограничений безопасности в GnuPG

Дата публикации:
17.02.2006
Дата изменения:
17.10.2006
Всего просмотров:
2755
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
GnuPG / gpg 1.2.x
GnuPG / gpg 1.0.x
GnuPG / gpg 1.3.x
GnuPG / gpg 1.4.x
Уязвимые версии: GnuPG версии до 1.4.2.1

Описание:
Удаленный пользователь может обойти ограничения безопасности.

Уязвимость существует из-за того, что "gpgv" завершается с кодом 0 даже если прикрепленный файл подписи не содержит подпись. Приложения, использующие "gpgv" для проверки подлинности могут некорректно определять подпись. Для успешной эксплуатации уязвимости сценарий, определяющий подлинность подписи должен использовать "gpgv" или "gpg --verify" и полагаться на ответ приложения.

URL производителя: www.gnupg.org

Решение: Установите последнюю версию (1.4.2.1) с сайта производителя.

Источник:

Ссылки: False positive signature verification in GnuPG

или введите имя

CAPTCHA