Security Lab

Уязвимость форматной строки в GnuPG

Дата публикации:05.12.2003
Дата изменения:17.10.2006
Всего просмотров:1249
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: GnuPG 1.2.3, 1.3.3

Описание: Уязвимость форматной строки обнаружена в GnuPG в утилите 'gpgkeys_hkp'. Злонамеренный keyserver может выполнить произвольный код на целевой системе.

Когда включен внешний HKP интерфейс (по умолчанию в GnuPG 1.3), то get_key() функция в 'keyserver/gpgkeys_hkp.c' выполняет fprintf() запрос, используя данные, представленные пользователем, без определения формата. Злонамеренный keyserver может возвратить специально обработанную информацию, чтобы выполнить произвольный код на целевом сервере.

URL производителя: http://www.gnupg.org/

Решение:Установите обновленную версию программы (1.3.4)

Ссылки: GnuPG 1.2.3, 1.3.3 external HKP interface format string issue