首页 -> 安全研究
安全研究
安全漏洞
PGP / GnuPG Chosen Ciphertext存在信息泄露漏洞
发布日期:2002-08-12
更新日期:2002-08-16
受影响系统:
GNU GNU Privacy Guard 1.0.7描述:
GNU GNU Privacy Guard 1.0.6
GNU GNU Privacy Guard 1.0.5
GNU GNU Privacy Guard 1.0.4
GNU GNU Privacy Guard 1.0.3b
GNU GNU Privacy Guard 1.0.3
GNU GNU Privacy Guard 1.0.2
GNU GNU Privacy Guard 1.0.1
Network Associates PGP 7.1.1
Network Associates PGP 7.1
Network Associates PGP 7.0.4
Network Associates PGP 7.0.3
Network Associates PGP 7.0
Network Associates PGP 6.5.8
Network Associates PGP 6.5.3i for Windows
Network Associates PGP 6.5.3
Network Associates PGP 6.5.1i for Unix
Network Associates PGP 6.5.1i
Network Associates PGP 6.5 Linux
Network Associates PGP 6.0.2i
Network Associates PGP 6.0.2
Network Associates PGP 5.5.5
Network Associates PGP 5.5.3i for Windows
Network Associates PGP 5.5.3i
Network Associates PGP 5.0 Linux
Network Associates PGP 5.0
IETF OpenPGP RFC 2440
GNU GNU Privacy Guard 1.0
- Linux系统
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
Network Associates PGP 5.0i
- HP HP-UX 11.0
- IBM AIX 4.3
- Linux系统
- Microsoft Windows NT 4.0
- Microsoft Windows 98
- Microsoft Windows 95
- Sun Solaris 8.0
Network Associates PGP Freeware 7.0.3
- Apple MacOS 9.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 2000
BUGTRAQ ID: 5446
PGP和GnuPG是两个流行的OpenPGP加密规范实现。
OpenPGP规范中存在一个漏洞,远程攻击者可以利用这个漏洞能够"了解"加密通信的明文内容。
PGP和GnuPG基于OpenPGP规范实现,存在漏洞允许攻击者"了解"加密通信的明文内容,由于这个漏洞需要一定程序用户的交互,所以这个攻击对攻击用户技术要求比较高。
漏洞基于chosen ciphertext攻击形式,使用有问题软件的用户必须被诱骗解译由攻击者修改过的合法消息内容,而且攻击者还需要通过社会工程学原理获得用户解译的结果,依靠这个解译结果信息,攻击者可以恢复原始消息中的部分内容。
OpenPGP加密过程使用压缩的信息内容不可能利用这个漏洞,修改过的数据在解压过程中一般会出现错误,而报告用户正在遭受攻击。
<*来源:K. Jallad
J. Katz
B. Schneier
链接:http://www.counterpane.com/pgp-attack.html
http://www.counterpane.com/chotext.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 确保所有消息使用OpenPGP压缩后进行传输。确保客户端软件使用了压缩功能,避免传输类似.zip的压缩软件,因为此类文件不能被第二次压缩。
厂商补丁:
GNU
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.gnu.org
Network Associates
------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.pgp.com/
浏览次数:3176
严重程度:0(网友投票)
绿盟科技给您安全的保障