SigSpoof PGP Bugは、ハッカーがユーザーの署名とIDをスプーフィングすることを可能にする10年前の脅威であることが発見されました。. これは、セキュリティの問題が長年にわたって利用可能であり、脆弱性がちょうど今発見されたまれな例です. PGPは、最も広く使用されている暗号化ツールの1つです, 主に電子メール通信で使用されます.
CVE-2018-12020: SigSpoofPGPバグの影響
PGPは、公開鍵と秘密鍵の方法を使用して安全な通信を提供するための最もよく知られた方法です。. しかし、発見されたばかりのコアには10年前の脆弱性が含まれていたようです. セキュリティコミュニティがSigSpoofPGPバグを発表すると、実質的にすべての主要なソフトウェアユーティリティとサービスが迅速に更新されました。.
提供されるセキュリティアドバイザリ CVE-2018-12020 GnuPGパッケージが (これはすべての主要な実装のベースです) 復号化および検証アクション中に元のファイル名を誤って処理します. 結果として、リモートの攻撃者は関連する操作の出力をスプーフィングする可能性があります. SigSpoofの欠陥を発見した専門家の1人によると (マーカス・ブリンクマン) と書いた 結果は壊滅的なものになる可能性があります. GnuPGコードは、Linuxディストリビューションのソフトウェアアップデートを含むさまざまなサービスで使用されます (パッケージを確認するため), バックアップ, ソースコードのリリースなど.
CVE-2018-12020アドバイザリによると、SigSpoof PGPバグは、冗長オプションを有効にしたソフトウェアにのみ影響します。. セキュリティ慣行では、デフォルトで無効にすることですが、多くのオンラインガイドが推奨していることがわかっています。.
バグは、ユーティリティアプリケーションが署名検証の結果としてメタデータを処理するようにメタデータを非表示にすることで機能します. その結果、メールアプリは、メッセージがハッカーによって選択されたIDによって署名されたことを誤って表示します. なりすましを実行するために必要なパラメータは、公開鍵または鍵IDのみです。.
2つの別々の機会の関連するメモで、クライアントソフトウェアに関連する追加のバグは、ハッカーが問題を利用した可能性があることを示しています. 最初の機会は、冗長モードが有効になっていない場合、犯罪者が署名をスプーフィングできることを示しています. 他の特定されたバグは、なりすまし操作に加えて悪意のあるコードの実行さえ可能にします.
OpenPGPおよび関連コードの実装を実行しているすべてのユーザーは、脆弱性にパッチが適用されているかどうかをベンダーに確認する必要があります.