Bugs in GnuPG zorgen voor veiligheidsproblemen

De afgelopen weken zijn twee bugs ontdekt in GNU Privacy Guard, ook wel bekend als GnuPG of GPG, zo heeft de GnuPG Group bekendgemaakt in twee berichten. GnuPG wordt onder meer met een groot aantal *nix'en en BSD's meegeleverd als vervanger voor de cryptografische software van Pretty Good Privacy. Het eerste lek is gevonden door een Gentoo Linux-projectlid en kan ervoor zorgen dat een gecontroleerd bestand onterecht als veilig bestempeld wordt als er gebruikgemaakt wordt van de non-interactieve opties van de GnuPG-software. Een patch voor dit probleem werd op 15 februari gepubliceerd. De tweede bug werd een paar dagen later ontdekt en gepatcht. Zonder deze patch is het mogelijk extra data aan een bestand toe te voegen en GnuPG te laten denken dat het bestand ongewijzigd is. Deze bug treedt alleen op als er gebruikgemaakt wordt van 'attached signatures'.

GnuPG logoDoordat de GnuPG-software zoveel gebruikt wordt in onder meer *nix- en BSD-distributies bestaat de mogelijkheid dat digitale handtekeningen onbruikbaar worden voor hun oorspronkelijke doel. Het is namelijk mogelijk om zonder dat de GPG-software het doorheeft data aan een bestand of e-mail toe te voegen, aldus Tavis Ormandy van het Gentoo Linux-securityteam. Door de ontdekte lekken kan er niet meer op vertrouwd worden dat data authentiek is. Aangezien voor beide bugs patches beschikbaar zijn, is iedereen opgeroepen de bijgewerkte software te installeren zodat veiligheidsproblemen voorkomen kunnen worden. Onder meer Gentoo, Debian en Ubuntu en Novell hebben al bijgewerkte pakketten online geplaatst.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 12-03-2006 19:59 31

12-03-2006 • 19:59

31

Lees meer

Ontwikkelaar brengt Outlook-add-on voor mailversleuteling gpg4o als freeware uit
Ontwikkelaar brengt Outlook-add-on voor mailversleuteling gpg4o als freeware uit Nieuws van 19 oktober 2016
Encryptie voor Outlook en Android in de vorm van Pretty Easy Privacy uitgekomen
Encryptie voor Outlook en Android in de vorm van Pretty Easy Privacy uitgekomen Nieuws van 4 juli 2016
Beschuit met muisjes voor Ubuntu 7.04 Feisty Fawn
Beschuit met muisjes voor Ubuntu 7.04 Feisty Fawn Nieuws van 19 april 2007
Alan Cox: 'opensourcesoftware lang niet altijd veilig'
Alan Cox: 'opensourcesoftware lang niet altijd veilig' Nieuws van 27 oktober 2006
Duitsers komen met crypto-plugin voor webmail
Duitsers komen met crypto-plugin voor webmail Nieuws van 27 augustus 2006
Duitse overheid publiceert veilige software
Duitse overheid publiceert veilige software Nieuws van 4 mei 2006
Poging om achterdeur in Linux te bouwen onderschept
Poging om achterdeur in Linux te bouwen onderschept Nieuws van 8 november 2003
FTP-server van GNU-project gehackt
FTP-server van GNU-project gehackt Nieuws van 15 augustus 2003
Ontwikkeling PGP gaat door
Ontwikkeling PGP gaat door Nieuws van 22 augustus 2002
Zimmermann vraagt NAI om PGP open source te maken
Zimmermann vraagt NAI om PGP open source te maken Nieuws van 4 juli 2002
Network Associates staakt zoektocht naar PGP koper
Network Associates staakt zoektocht naar PGP koper Nieuws van 9 maart 2002
Broncode van PGP emailencryptie vrijgegeven
Broncode van PGP emailencryptie vrijgegeven Nieuws van 8 september 2001
Securitybug in PGP gevonden
Securitybug in PGP gevonden Nieuws van 6 september 2001
Gat gevonden in PGP e-mail beveiliging
Gat gevonden in PGP e-mail beveiliging Nieuws van 25 augustus 2000
Export PGP encryptie eindelijk toegestaan
Export PGP encryptie eindelijk toegestaan Nieuws van 14 december 1999
Meer producten en artikelen
Software

Reacties (31)

-Moderatie-faq
31
30
23
7
3
0
Wijzig sortering

Sorteer op:

Weergave:
DwarV 12 maart 2006 20:00
Volgens mij heeft Debian ook al een update beschikbaar, te installeren met apt-get
axis @DwarV12 maart 2006 20:31
je doet inderdaad regelmatig een 'apt-get update' gevolgd door een 'apt-get dist-upgrade', en je bent weer helemaal up to date.. I love Debian :)
_Pussycat_ @axis12 maart 2006 20:33
Windows update update mijn OS vanzelf, zonder command console. I love Windows. :P

Het valt me toch op hoe hier alles onder Linux geweldig wordt genoemd. Veiligheidlek in Linux? Conclusie is "I love Debian". Veiligheidslek in MaxOS? "Goed dat ze de patch zo lang testen voor ze hem uitbrengen". Veiligheidslek in Windows? "Micro$oft maakt alleen maar troep".

edit: @Olaf & racoontje:
Jullie hebben inderdaad een punt dat onder Linux het hele systeem wordt geupdate (als je de juiste paketten gebruikt). Dat is inderdaad een voordeel, en de bug zat niet in linux zelf. Toch stoort het me dat mensen bij veiligheidsfouten in niet-MS-programma's veel minder kritisch zijn dat wanneer het software van MS.
RobT @_Pussycat_13 maart 2006 10:00
Ik weet niet of je een troll bent of niet, ik ga er maar even van uit van niet,....
Windows update update mijn OS vanzelf, zonder command console.
Totdat het systeem daardoor kapot gaat is dat prachtig, daarna niet meer. Prima als het werkt, maar gebruikersinvloed in updates is zeker niet verkeerd.
Het valt me toch op hoe hier alles onder Linux geweldig wordt genoemd. Veiligheidlek in Linux? Conclusie is "I love Debian".
Nee, geen veiligheidslek in Linux. Eigenlijk zelfs geen veiligheidslek in GPG, maar alleen in de manier waarop GPG toegepast wordt.
Toch zorgen Linux distro's ervoor dat hun gebruikers de juiste fixes krijgen.
En: men wordt op de hoogte gehouden, ipv dat men 3 maanden later te horen krijgt: deze fix/patch moet iedereen inspelen, want ...
Toch stoort het me dat mensen bij veiligheidsfouten in niet-MS-programma's veel minder kritisch zijn dat wanneer het software van MS.
Tsja, MS speelt per maand 1000 miljoen dollar op hun bankrekening erbij, als een stel amateurs/liefhebbers het dan alsnog beter doet is dat triest.
ATS @_Pussycat_12 maart 2006 23:22
Als je als linux gebruiker daar behoefte aan hebt, dan zet je dat commando toch gewoon in een cron job? Dan gaat het ook automagisch.
Persoonlijk heb ik dat liever niet, maar het is totaal geen probleem om je systeem automatisch te laten updaten. Ik doe zelf wel gewoon af en toe een strategisch "emerge".
Verwijderd @_Pussycat_13 maart 2006 10:53
Waarom mensen minder kritisch zijn? Ik weet wel een aantal redenen.

- Microsoft is monopolist/heeft het grootste marktaandeel. Dat schept verplichtingen. In OSS-wereld wordt veel door vrijwilligers gedaan, Apple heeft niet zo'n groot marktaandeel.
- Nog belangrijker, Microsoft heeft gigantisch veel werknemers in dienst in vergelijking met Mac OS X en Linux, en ook gigantisch veel geld. Daarom zou het voor MS veel makkelijker moeten zijn om bugs te fixen.

Het tegenargument is dan weer dat MS software het meest gebruikt is, en "given many eyes, all bugs are shallow" geldt dan. Vanwege het grote marktaandeel is het lucratiever voor kwaadwillenden om kwaadaardige software voor MS Windows te schrijven. Tegenargument op dit tegenargument is dan weer dat MS software niet open source is i.t.t. Unix/Linux/BSD, dus is het in theorie moeilijker om bugs te vinden. IMO heffen deze argumenten elkaar op.


Dat is mijn redenatie. Ik kom tot de conclusie dat Microsoft in vergelijkbare gevallen meer is te verwijten.
Verwijderd @_Pussycat_13 maart 2006 18:49
Oud nieuws: die update heb ik al een paar dagen geleden geinstalleerd :P.
Windows update update mijn OS vanzelf, zonder command console.
Mijn windows 98 update helemaal niet meer, of ik het nu wil of niet. Ik had windows nog geinstalleerd om mijn websites te testen, maar nu zit ik met IE 5 opgescheept :(.
Olaf van der Spek @_Pussycat_12 maart 2006 21:11
Windows update update mijn OS vanzelf, zonder command console. I love Windows.
Sinds wanneer levert MS (patches voor) GPG?
lvh @_Pussycat_12 maart 2006 21:55
Microsoft patcht andere mensen hun software niet.
JeRa @Verwijderd12 maart 2006 20:35
Dat stond er eerst nog niet ;)
ironx 12 maart 2006 20:36
Voor de Windows-gebruikers van GnuPG:

GnuPG 1.4.2.2
GnuPG1.4.2.2 signature
Wolfboy 12 maart 2006 20:09
Gentoo heeft de update al een paar daagjes (sinds 08-03-2006) in de portage staan, upgraden is dus mogelijk :)

Waarom dit frontpage nieuws is vind ik alleen wat vreemd, het vorige lek (10-02-2006) werd ook niet geplaatst.
webfreakz.nl @Wolfboy12 maart 2006 20:19
Wat ik ook niet snapt is dat er geen submitter is van dit nieuws? Meestal komt T.Net niet zo met NOS-nieuws uit zichzelf :?
Verwijderd 13 maart 2006 08:53
En kan de niet-bijgewerkte software nog gebruiken om alsnog bestanden aan te passen, of is het de bedoeling dat je geheel nieuwe keys aanmaakt die alleen in de nieuwe versie werkt?
Verwijderd 12 maart 2006 23:24
Het probleem is niet de snelle patches maar het feit dat in feite essentiele veiligheidsoftware zulke grote gaten bevat. Juist bij dit soort software vertrouwen de gebruikers op de hoge veiligheid die het product biedt.

De schade die dergelijke bugs hebben gedaan zit meer in de reputatie van het product dan in mogelijk misbruik door cybercriminelen
LollieStick @Verwijderd12 maart 2006 23:35
Noem jij eens software dat per definitie veilig is?
Daimanta @LollieStick12 maart 2006 23:52
Hello world! misschien? ;)
Firefly III @Daimanta13 maart 2006 08:08
Hoeveel gebruikers zien het denk je, dat een applicatie onveilig is door een gebruikte library? Nul.

Even los van Hello World, als een applicatie een bug bevat of crashed of onveilig is of wat dan ook ligt dat vanuit de gebruiker gezien aan de applicatie, niet aan eventuele libraries.
arjankoole @Daimanta13 maart 2006 00:30
Hello world! misschien?
en zelfs die niet als je een include doet met een security-lek.

#include <stdio.h>

bijvoorbeeld.
Sfynx @Daimanta13 maart 2006 00:40
en zelfs die niet als je een include doet met een security-lek.

#include <stdio.h>

bijvoorbeeld.
dan is de libc niet veilig, maar je hello world applicatie foutloos :) Het gaat natuurlijk om de software waar de bug zit ;)
Verwijderd @LollieStick13 maart 2006 10:28
Het maakt niet uit dat bugs in software waarschijnlijk altijd mogelijk zullen zijn maar wat wel uit maakt is de aard van de bugs en de perceptie die deze bugs op een specifike product werpen.

Bij een security product zullen alle bugs die de directe security die het product levert betreffen en daarmee de gebruiker compromitteren als zeer ernstig worden beschouwd en enorme schade aan de reputatie van het product toebrengen.
arjankoole @Verwijderd13 maart 2006 00:34
Juist bij dit soort software vertrouwen de gebruikers op de hoge veiligheid die het product biedt.
mensen die echte hoge eisen hebben aan veiligheid gebruiken sowieso niet de non-interactive modus van GPG. Daarnaast denk ik dat diezelfde gebruikers het erg op prijs stellen dat er snel melding wordt gemaakt, snel een patch beschikbaar is, en vooral dat er volledig open kaart wordt gespeeld omtrend het probleem.
De schade die dergelijke bugs hebben gedaan zit meer in de reputatie van het product dan in mogelijk misbruik door cybercriminelen
Ook dat is maar hoe je het bekijkt. OpenSSH's reputatie heeft ook niet veel ingeboet nadat bekend werd dat hun ftp servers compromised werden en via die weg rootkit-varianten van de SSH software werd verspreid.
Mastermind 13 maart 2006 08:27
*nixen
Lunixen? :P
Verwijderd @Mastermind13 maart 2006 09:58
Unox, the worst operating system.
JeRa 12 maart 2006 20:10
Ook bij (K|X|Ed)ubuntu waren twee dagen geleden geüpdatet pakketten te verkrijgen, wat dat betreft is het erg snel gefixed :)
Verwijderd 12 maart 2006 21:11
Tja, dat krijg je met Open Source. Er kan zo maar een security bug in zitten.
Erkens @Verwijderd12 maart 2006 22:45
Natuurlijk kan daar ook een security bug in zitten, logisch, elke stuk software bevat bugs ;)
Maar gelukkig is het ook snel gefixed en hoef je niet te wachten tot het bedrijf wat de software maakt het nodig vind om een patch te releasen maar is dit te doen vrijwel direct nadat de patch gemaakt en getest is :) Dat is dan weer een voordeel voor Open Source.
Daimanta @Verwijderd12 maart 2006 22:19
En closed source is absoluut veilig. Kijk maar naar Windows ;)
Chrono Trigger 12 maart 2006 20:40
Symantec, anyone?
lordsnow @Chrono Trigger12 maart 2006 21:06
Doe mij maar een biertje en wat nootjes.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq