Hlavní navigace

SigSpoof zranitelnost GnuPG, Enigmail, GPGTools a python-gnupg

Jan Fikar

Kritická zranitelnost SigSpoof CVE-2018–12020 umožňuje v některých případech útočníkovi podepsat zprávu nebo soubor pouze veřejným klíčem oběti nebo jen pomocí znalosti ID klíče. Potřeba je, aby oběť měla v gpg.conf verbose. To tam ve výchozím stavu sice není, ale mnoho návodů to zmiňuje.

Chyba je v GnuPG 0.2.2 od roku 1998. Opravena byla v GnuPG 2.2.8, Enigmail 2.0.7, GPGTools 2018.3 a python-gnupg 0.4.3.

(zdroj: securityaffairs)

Našli jste v článku chybu?