加密软件中的一对安全漏洞使攻击者有可能在数字签名信息中插入内容,或伪造文件上的签名。
GnuPG集团在两项警告中指出,开源GNU隐私卫士(GNU Privacy Graud)软件,也就是我们熟知的GnuPG或者GPG中存在两个安全漏洞。这个软件,是完美隐私(Pretty Good Privacy)加密技术的免费替代产品,在许多开源操作系统,如FreeBSD、OpenBSD以及许多Linux版本中都包含此软件。
在上周五,Gentoo Linux安全小组的Tavis Ormandy在接受一次电子邮件访谈时写道,这个安全漏洞可能会对数字签名的价值产生威胁。这两个漏洞就是Tavis Ormandy发现的。他写道,一个恶意的破坏者在通过电子邮件发送的安全警报中加入一些信息,或者伪造软件更新的数字签名。
这样的话,那些使用这种开源加密技术来对电子邮件通讯进行验证或者进行数字签名文件验证的用户,或者更进一步讲,那些消息的收件人和使用这些文件的用户都会受到安全威胁。
Ormandy在电子邮件中还写道,Linux和Unix的发行商,经常在他们的安全报告中使用GPG数字签名,以便他们的顾客能够对这些安全报告的真实性进行检验。此外,这些公司还在一些软件更新中使用这种签名技术来确保他们的数据没有被篡改。
“GnuPG以各种各样的使用方式来保证文件与信息的真实性。如果没有了GPG的帮助,也许每天都会有假冒的报告出现,来引诱用户下载恶意的文件。”Ormandy在电子邮件中说。
习惯于依靠GPG来发布软件更新的系统也许需要改进一下。Ormandy写道:“许多系统进行软件更新都是依靠GPG来进行的,特别是在Linux上。我们需要在这方面下一些功夫,来阻止任何恶意的用户损害软件库。”
对于GunPG小组来讲,修复这个漏洞是可以做到的。并且,那些在他们自己的产品中使用这种技术的公司,比如Gentoo公司和Novell公司,已经推出了产品更新。
据GnuPG小组的一位安全顾问讲,攻击者可以在一个数字签名消息中插入一些数据,然后系统仍然能够通过安全验证而不会发现这些数据。关于这个漏洞的最新补丁在周四发布了。
当Ormandy对一个早期的漏洞(2月15日发布了补丁)深入研究时,发现了最近的漏洞。从一份Novell Suse Linux警告中我们得知,当忘记数字签名的时候,那个早期的漏洞能够对下载的文件进行自动签名,从而认为下载的文件是安全的。
目前还没有接到有关利用这个漏洞进行攻击的报告。不管怎样,使用这个有缺陷软件的用户还是需要尽快安装安全更新程序,这样才能确保他们的系统能够得到保护。
责任编辑:张琎
