Уязвимость SigSpoof затрагивает GnuPG, Enigmail, GPGTools и python-gnupg.
Команда проекта Gnu выпустила новую версию инструмента GnuPG, в которой устранена уязвимость, позволяющая исказить сообщение о результатах проверки цифровой подписи при использовании утилиты gpg. Проблема, получившая название SigSpoof, затрагивает GnuPG, Enigmail, GPGTools, пакет python-gnupg и, возможно, другие приложения, использующие GnuPG.
Уязвимость (CVE-2018-12020) существует из-за отсутствия надлежащей проверки имени файла, который может включаться в подписанное или зашифрованное сообщение в качестве информации об исходном файле. В процессе расшифровки и проверки цифровой подписи данное имя выводится на экран или в лог, но из-за отсутствия проверки может включать управляющие символы, в том числе перевод строки и команды для манипуляции терминалом.
«Атакующий может внедрить произвольные статусные сообщения GnuPG в парсер приложения и исказить результаты проверки цифровой подлинности и расшифровки сообщений», - пояснил специалист Маркус Бринкман (Marcus Brinkmann). Длина статусного сообщения не должна превышать 255 символов.
По словам эксперта, уязвимость проявляется только при активированной настройке verbose в gpg.conf, использующейся для выявления проблем или неожиданного поведения.
Вышеуказанная уязвимость устранена в версиях GnuPG version 2.2.8, Enigmail 2.0.7, GPGTools 2018.3, и python GnuPG 0.4.3.
В минувшем мае стало известно о ряде опасных уязвимостей в инструментах шифрования PGP и S/Mime, которые позволяют просматривать содержимое зашифрованных писем в виде простого текста.
GnuPG (GNU Privacy Guard) - свободная программа для шифрования информации и создания электронных цифровых подписей, разработанная в соответствии со стандартом OpenPGP. Создана как альтернатива PGP и выпущена под свободной лицензией GNU General Public License.
Одно найти легче, чем другое. Спойлер: это не темная материя