Inyección de datos no firmados en GnuPG con varios clientes

 

 

Los scripts y aplicaciones que utilizan GnuPG pueden ser afectados por una vulnerabilidad en la forma en que la verificación de firmas digitales se muestra al usuario final.

El fallo permite que un eventual atacante inyecte contenido arbitrario en un mensaje firmado, de forma que el destinatario, al abrir el mensaje con su cliente de correo, no puede distinguir la parte falsa de la parte auténtica que fue firmada...

Resultan vulnerables:

  • GnuPG 1.4.6 y anteriores.
  • Enigmail 0.94.2 y anteriores.
  • KMail 1.9.5 y anteriores.
  • Evolution 2.8.1 y anteriores.
  • Sylpheed 2.2.7 y anteriores.
  • Mutt 1.5.13 y anteriores.
  • GNUMail 1.1.2 y anteriores.
  • Otros scripts y aplicaciones que utilicen GnuPG podrían ser también vulnerables.

Según explica el descubridor de esta vulnerabilidad, Gerardo Richarte, no se trata de un problema criptográfico, sino que el fallo radica en la interacción entre GnuPG y las aplicaciones que lo utilizan, y en cómo la información es mostrada al usuario.

La solución pasa por actualizar cuanto antes a GnuPG 1..4.7.

Más información:

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Fernando Acero's picture

Puede que el problema sea otro...


Puede que actualizarse a la siguiente versión solucione el problema desde el lado del que genera la firma, pero no desde el punto de vista del que recibe un correo firmado ¿cómo sabe el que recibe el correo el entorno en el que se generó la firma?.

Es un problema similar al que comentaba en mi artículo sobre el fallo del PKI (ampliamente criticado, pero con el problema todavía no resuelto). El problema está en que el sistema ha permitido algo que no debía permitir y que el usuario que recibe el mensaje firmado, no tiene conocimiento del entorno en el que se generó la firma.

Debemos tener en cuenta además, que el banner que se genera con la versión del programa es algo trivial de modificar.

En resumen, el que tiene que decidir si el contenido firmado es válido, ha de ser el que recibe el documento y eso, como están las cosas, está complicado de hacer con una certeza del 100%.

"Copyleft 2007 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

"Copyleft 2011 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

test's picture

Acero Martin, no sos de fierro, sos de madera


No tenes idea de lo que escribis. "El banner que se genera con la version del programa es algo trivial de modificar" WTF?? si modificaste el banner del programa que checkea las firmas, tenes un problema mucho mas grave. El que decide si el contenido es valido es el GPG, y el problema es que lo hace, pero no lo comunica bien a las demas aplicaciones que lo usan.

Escribiste como 5 parrafos y no dijiste nada, que sos, opinologo profesional?