Une vulnérabilité de divulgation d'informations a été découverte dans GnuPG

Une nouvelle vulnérabilité, SigSpoof, dont l'exploitation pourrait permettre la divulgation d'informations, a été découverte dans la version 2.2.6 de GnuPG (GPG). Cette vulnérabilité touche GnuPG, Enigmail, GPGTools et python-gnupg.

L'exploitation de cette faille pourrait permettre l'usurpation de la signature cryptographique d'un utilisateur. La vulnérabilité est due à un manque d'assainissement du paramètre 'filename' du logiciel OpenPGP quand l'utilisateur a activé l'option "verbose" dans le fichier gpg.conf.

Informations
+

Impact

  • Atteinte à la confidentialité.

Criticité

  • CVSS v3 : en cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • GnuGP versions antérieures à 2.2.8
  • Enigmail versions antérieures à 2.0.7
  • GPGTools versions antérieures à 2018.3

CVE

  • CVE-2018-12020

Recommandations
+

Correctifs

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.