GnuPG'de uzaktaki kullanıcıların imzalanmamış verileri imzalanmış gibi gösterebilmelerine izin veren bir açık tespit edildi. GnuPG'nin imza onay bilgisini sunuş metodundan dolayı, GnuPG kullanan uygulamalar bazı durumlarda imzalanmış içeriğin spoof edilmesine izin veriyor. Uzaktaki bir kullanıcı imzalanmış bir mesajın içine istediği içeriği ekleyebiliyor ve böylece alıcı eklenmiş içeriğin imzalanmamış olduğunu algılayamıyor.
Çeşitli e-posta istemcisi uygulamaları GnuPG API'sini düzgün olarak kullanmıyorlar. Mesaj sınırlarını belirlerken ve mesaj içeriğini gösterirken mesaj sınırlarını ayırt etmiyorlar.
Enigma, Evolution, GNUMail, KMail, Mutt ve Sylpheed e-posta istemcileri --status-fd'yi hatalı kullanıyorlar ve bu açıktan etkileniyorlar.
Çözüm:
Yeni sürüme (1.4.7) güncellemek gerekiyor.
http://www.gnupg.org/download/
Kaynak: http://securitytracker.com/alerts/2007/Mar/1017727.html
Ref: http://www.coresecurity.com/?action=item&id=1687
Olympos.org
