1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
<define-tag description>printf Format-Angriff</define-tag>
<define-tag moreinfo>
Die Version von GnuPG (GNU Privacy Guard, eine OpenPGP-Implementierung),
die in Debian GNU/Linux 2.2 verteilt wird, leidet an zwei Problemen:
<ol>
<li>fish stiqz meldete auf bugtraq, dass ein printf-Format-Problem
in der do_get() Funktion vorhanden war: sie gibt eine Eingabeaufforderung
aus, die den entschlüsselten Dateinamen beinhaltet, ohne auf mögliche
printf-Format-Angriffe zu prüfen. Dieses kann ausgenutzt werden, wenn man
jemanden austrickst, eine Datei mit einem speziell handgemachtem
Dateinamen entschlüsseln zu lassen.
<li>Der zweite Fehler steht in Beziehung mit dem Importieren von
geheimen Schlüsseln: wenn gnupg einen geheimen Schlüssel importiert,
dann wird dem dazugehörigen öffentlichen Schlüssel vollständig
vertraut, was Ihr Vertrauensnetz (web of trust) ändert, ohne eine
Bestätigung zu verlangen. Um das zu korrigieren, braucht man eine
spezielle Option, um den geheimen Schlüssel zu importieren.
</ol>
<p>Beide Probleme wurden in Version 1.0.6-0potato1 korrigiert.
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2001/dsa-061.data"
#use wml::debian::translation-check translation="0157ea5d3a211b732fb02be8d748ecc3f9558242"
# Translator: Noel Koethe, noel@koethe.net, 2001-06-17
|
