English | Deutsch | Español | Português
 Benutzerkennung:
 Passwort:
Registrieren
 About:   Dediziert  | Erweitert  | Standard  | Wiederkehrend  | Risikolos  | Desktop  | Basis  | Einmalig  | Sicherheits Siegel  | FAQ
  Preis/Funktionszusammenfassung  | Bestellen  | Neue Anfälligkeiten  | Vertraulichkeit  | Anfälligkeiten Suche
 Anfälligkeitssuche        Suche in 150599 CVE Beschreibungen
und 73533 Test Beschreibungen,
Zugriff auf 10,000+ Quellverweise.
Tests   CVE   Alle  

Test Kennung:1.3.6.1.4.1.25623.1.0.891675
Kategorie:Debian Local Security Checks
Titel:Debian LTS Advisory ([SECURITY] [DLA 1675-1] python-gnupg security update)
Zusammenfassung:Alexander Kj?ll and Stig Palmquist discovered a vulnerability in;python-gnupg, a wrapper around GNU Privacy Guard. It was possible to;inject data through the passphrase property of the gnupg.GPG.encrypt();and gnupg.GPG.decrypt() functions when symmetric encryption is used.;The supplied passphrase is not validated for newlines, and the library;passes --passphrase-fd=0 to the gpg executable, which expects the;passphrase on the first line of stdin, and the ciphertext to be;decrypted or plaintext to be encrypted on subsequent lines.;;By supplying a passphrase containing a newline an attacker can;control/modify the ciphertext/plaintext being decrypted/encrypted.
Beschreibung:Summary:
Alexander Kj?ll and Stig Palmquist discovered a vulnerability in
python-gnupg, a wrapper around GNU Privacy Guard. It was possible to
inject data through the passphrase property of the gnupg.GPG.encrypt()
and gnupg.GPG.decrypt() functions when symmetric encryption is used.
The supplied passphrase is not validated for newlines, and the library
passes --passphrase-fd=0 to the gpg executable, which expects the
passphrase on the first line of stdin, and the ciphertext to be
decrypted or plaintext to be encrypted on subsequent lines.

By supplying a passphrase containing a newline an attacker can
control/modify the ciphertext/plaintext being decrypted/encrypted.

Affected Software/OS:
python-gnupg on Debian Linux

Solution:
For Debian 8 'Jessie', this problem has been fixed in version
0.3.6-1+deb8u1.

We recommend that you upgrade your python-gnupg packages.

CVSS Score:
5.0

CVSS Vector:
AV:N/AC:L/Au:N/C:N/I:P/A:N

Querverweis: Common Vulnerability Exposure (CVE) ID: CVE-2019-6690
BugTraq ID: 106756
http://www.securityfocus.com/bid/106756
Bugtraq: 20190125 CVE-2019-6690: Improper Input Validation in python-gnupg (Google Search)
https://seclists.org/bugtraq/2019/Jan/41
http://packetstormsecurity.com/files/151341/Python-GnuPG-0.4.3-Improper-Input-Validation.html
https://blog.hackeriet.no/cve-2019-6690-python-gnupg-vulnerability/
https://pypi.org/project/python-gnupg/#history
https://lists.debian.org/debian-lts-announce/2019/02/msg00021.html
SuSE Security Announcement: SU-2019:0143-1 (Google Search)
http://lists.opensuse.org/opensuse-security-announce/2019-02/msg00008.html
SuSE Security Announcement: SUSE-SU-2019:0239-1 (Google Search)
http://lists.opensuse.org/opensuse-security-announce/2019-02/msg00058.html
https://usn.ubuntu.com/3964-1/
CopyrightCopyright (C) 2019 Greenbone Networks GmbH

Dies ist nur einer von 73533 Anfälligkeitstests in unserem Testpaket. Finden Sie mehr über unsere vollständigen Sicherheitsüberprüfungen heraus.

Um einen gratis Test für diese Anfälligkeit auf Ihrem System durchlaufen zu lassen, registrieren Sie sich bitte unten.

Registrierung eines neuen Benutzers
Email:
Benutzerkennung:
Passwort:
Bitte schicken Sie mir den monatlichen Newsletter, der mich über die neuesten Services, Verbesserungen und Umfragen informiert.
Bitte schicken Sie mir eine Anfälligkeitstest Benachrichtigung, wenn ein neuer Test hinzugefügt wird.
   Datenschutz
Anmeldung für registrierte Benutzer
 
Benutzerkennung:   
Passwort:  

 Benutzerkennung oder Passwort vergessen?
Email/Benutzerkennung:




Startseite | Über uns | Kontakt | Partnerprogramme | Developer APIs | Datenschutz | Mailinglisten | Missbrauch
Sicherheits Überprüfungen | Verwaltete DNS | Netzwerk Überwachung | Webseiten Analysator | Internet Recherche Berichte
Web Sonde

© 1998-2019 E-Soft Inc. Alle Rechte vorbehalten.