Opnieuw beveiligingslek in PGP
Achtergrond
6 september 2002
Het Amerikaanse
beveiligingsadviesbureau Foundstone heeft een fout gevonden in het
Pretty Good Privacy-encryptieprogramma. Een hacker kan daardoor
controle krijgen over de machine van de ontvanger via een met PGP
versleuteld bericht.
Het probleem vloeit voort uit de manier waarop PGP omgaat met lange bestandsnamen in versleutelde archieven. Het programma is niet berekend op het ontcijferen van bestandsnamen langer dan tweehonderd tekens. Een dermate lange bestandsnaam resulteert in een buffer overflow, wat een gekend mechanisme is om code binnen te smokkelen in een systeem. Omdat het bestand versleuteld binnenkomt, heeft de ontvanger geen mogelijkheden om vooraf te constateren dat er bestanden binnengeloodst worden die hij beter niet kan ontcijferen.
De fout zit in versies 7.1.0 en 7.1.1 van PGP Corporate Edition en in de freeware-versie 7.0.3. Network Associates heeft een patch beschikbaar voor deze versies. (jwy)
Zie ook:
Starter blaast PGP nieuw leven in - Automatisering Gids nr. 34, 2002
Foutje in PGP-software - 12 augustus 2002
Het probleem vloeit voort uit de manier waarop PGP omgaat met lange bestandsnamen in versleutelde archieven. Het programma is niet berekend op het ontcijferen van bestandsnamen langer dan tweehonderd tekens. Een dermate lange bestandsnaam resulteert in een buffer overflow, wat een gekend mechanisme is om code binnen te smokkelen in een systeem. Omdat het bestand versleuteld binnenkomt, heeft de ontvanger geen mogelijkheden om vooraf te constateren dat er bestanden binnengeloodst worden die hij beter niet kan ontcijferen.
De fout zit in versies 7.1.0 en 7.1.1 van PGP Corporate Edition en in de freeware-versie 7.0.3. Network Associates heeft een patch beschikbaar voor deze versies. (jwy)
Zie ook:
Starter blaast PGP nieuw leven in - Automatisering Gids nr. 34, 2002
Foutje in PGP-software - 12 augustus 2002
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd.
Ben je nieuw bij AG Connect, registreer je dan gratis!
Registreren
- Direct toegang tot AGConnect.nl
- Dagelijks een AGConnect nieuwsbrief
- 30 dagen onbeperkte toegang tot AGConnect.nl
Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!