Risques

  • Déni de service local ou distant
  • Exécution de code arbitraire

Systèmes affectés

  • GnuPG versions 1.4.3 et antérieures ;
  • GnuPG versions 1.9.20 et antérieures.

Résumé

Une vulnérabilité dans GnuPG permet à un utilisateur local de provoquer un déni de service ou d'exécuter du code arbitraire.

Description

Un manque de contrôle dans la taille du champ user ID d'un message GPG dans GnuPG permet à un utilisateur de provoquer un déni de service de l'application ou d'exécuter du code arbitraire par le biais d'un message construit de façon particulière. Cette action malveillante peut se faire localement, ou à distance, par le biais d'une application tierce comme un client de messagerie.

Solution

Les versions 1.4.4 (stable) et 1.9.21 (développement) de GnuPG corrigent le problème :

http://www.gnupg.org/download

Documentation