Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5174-1 gnupg2

Debians sikkerhedsbulletin

DSA-5174-1 gnupg2 -- sikkerhedsopdatering

Rapporteret den:

3. jul 2022

Berørte pakker:

gnupg2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 1014157.
I Mitres CVE-ordbog: CVE-2022-34903.

Yderligere oplysninger:

Demi Marie Obenour opdagede en fejl i GnuPG, som muliggjorde signaturforfalskning ved hjælp af vilkårlig indsprøjtning i statuslinjen. En angriber, der kontrollerer den hemmelige del af enhver signeringskapabel nøgle eller undernøgle i offerets nøglering, kunne drage nytte af fejlen til at levere en korrekt formateret signatur, som nogle programmer, herunder gpgme, accepterer som værende gyldig, og med et underskriftsfingeraftryk valgt af angriberen.

I den gamle stabile distribution (buster), er dette problem rettet i version 2.2.12-1+deb10u2.

I den stabile distribution (bullseye), er dette problem rettet i version 2.2.27-2+deb11u2.

Vi anbefaler at du opgraderer dine gnupg2-pakker.

For detaljeret sikkerhedsstatus vedrørende gnupg2, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/gnupg2