Notices where this attachment appears
-
asrafil@pod.geraspora.de (asrafil@pod.geraspora.de)'s status on Tuesday, 19-Jun-2018 17:37:23 UTC 
asrafil@pod.geraspora.de
Un fallo hallado en GnuPG abre la puerta a falsificar firmas digitales - MuySeguridad
Un fallo de seguridad hallado en GnuPG, Enigmail, GPGTools y python-gnupg permite a los hackers falsificar firmas digitales con una clave pública o la identificación de clave de un usuario, pudiendo hacer esto sin tener a disposición las claves privadas o públicas involucradas.
La vulnerabilidad (CVE-2018-12020), que fue descubierta por el investigador Marcus Brinkmann, ha sido descrita de la siguiente manera: “La rutina de verificación de firma en Enigmail 2.0.6.1, GPGTools 2018.2 y python-gnupg 0.4.2 analiza la salida de GnuPG 2.2.6 con una opción “–status-fd 2” que permite a los atacantes remotos falsificar firmas de forma arbitraria a través del parámetro “filename” (nombre de archivo) incrustado en los paquetes de datos literales de OpenPGP si el usuario tiene la opción ‘verbose’ establecida en su fichero gpg.conf.”
https://www.muyseguridad.net/2018/06/18/fallo-gnupg-falsificar-firmas-digitales/
#Ñ #seguridad
Bobinas P4G is a social network. It runs on GNU social, version 2.0.1-beta0, available under the GNU Affero General Public License.
All Bobinas P4G content and data are available under the Creative Commons Attribution 3.0 license.