GnuPG小组发出警告指出,在开放源码的GNU隐私卫士(GNU Privacy Graud)软件,也就是我们熟知的GnuPG或者GPG中存在两个安全漏洞。这个软件,是PGP(Pretty Good Privacy)加密技术的免费替代产品,在许多开放源码操作系统中都包含着,比如在FreeBSD、OpenBSD以及许多Linux发行版中。
在上周五,Gentoo Linux安全小组的Tavis Ormandy在接受一次电子邮件访谈时写道,这个安全漏洞能够对数字签名的值产生威胁。这两个漏洞就是Tavis Ormandy发现的。他说,一个恶意的破坏者能够对通过电子邮件发送的安全警告或者在软件更新中忘记数字签名时发出的安全警告中加入一些信息。
这样的话,那些使用这种开源加密技术来对电子邮件通讯进行验证或者进行数字签名文件验证的用户,或者更进一步讲,那些消息的收件人和使用这些文件的用户都会受到安全威胁。
在Ormandy的电子邮件中还写道,Linux和Unix的发行商,经常在他们的安全报告中使用GPG数字签名,以便他们的客户能够对这些安全报告的真实性进行检验。此外,这些公司还在一些软件更新中使用这种签名技术来确保他们的软件没有被修改。
“GnuPG以各种各样的使用方式来保证文件消息的真实性。如果没有了GPG的帮助,也许每天都会有假冒的报告出现,来引诱用户下载恶意的文件”,Ormandy在电子邮件中说。
习惯于依靠GPG来发布软件更新的系统也许需要改进一下。Ormandy写道:“许多系统进行软件更新,特别是在Linux上,是依靠与GPG的。我们需要在这方面下一些功夫,来阻止任何恶意的用户损害软件库。”
对于GunPG小组来讲,修复这个漏洞是可以做到的。并且,那些在他们自己的产品中使用这种技术的公司,比如Gentoo公司和Novell公司,已经为他们的产品提供了升级包。
据GnuPG小组的一位安全顾问讲,攻击者可以在一个数字签名消息中插入一些数据,然后系统仍然能够通过安全验证而不会发现这些数据。关于这个漏洞的最新补丁在上周四已经发布了。
当Ormandy对一个早期的漏洞(2月15日发布了补丁)深入研究时,发现了最近发现的漏洞。从一份Novell Suse Linux警告中我们得知,当忘记数字签名的时候,那个早期的漏洞能够对下载的文件进行自动签名,从而认为下载的文件是安全的。
目前还没有接到有关利用这个漏洞进行攻击的报告。不管怎样,使用这个有缺陷软件的用户还是需要尽快安装安全更新程序,这样才能确保他们的系统能够得到保护。
(
