受影响系统:
GNU Privacy Guard < 1.4.2.2
不受影响系统:
GNU Privacy Guard 1.4.2.2
描述: GnuPG是基于OpenPGP标准的PGP加密、解密、签名工具。GnuPG在处理邮件内置的签名时存在验证漏洞,攻击者可能利用此漏洞在邮件中插入额外的数据。GnuPG在提取已签名的数据时,数据可能前置或后缀了签名没有没有覆盖到的额外数据,这样攻击者就可以利用签名消息注入额外的任意数据。
补丁下载:DebianDebian已经为此发布了一个安全公告(DSA-993-2)以及相应补丁:DSA-993-2:New GnuPG packages fix broken signature check链接:http://www.debian.org/security/2005/dsa-993
(出处:http://www.sheup.com)