Sicherheitsprobleme in GnuPG und ClamAV
Gleich zwei kritischere Sicherheitslücken gab es heute zu vermelden: Zum einen vermeldet der Autor des Verschlüsselungstools GnuPG, Werner Koch, über ein von extern manipulierbaren Funtionszeiger. Sämtliche Systeme, die externe Eingaben mit GnuPG überprüfen oder entschlüsseln, sind damit gefährdet. Ein Update auf Version 1.4.6 ist verfügbar, für Version 2.0.1 steht ein Patch bereit.
Desweiteren untersuchte Hendrik Weimer verschiedene Virenscanner auf ihr Verhalten bei fehlerhaft BASE64-codierten Anhängen. Mehrere der untersuchten Scanner scheiterten hier, darunter auch ClamAV. Ein Patch findet sich hier im CVS des Projekts.
Beide Pakete wurden auf dem schokokeks.org Server bereits aktualisiert, für das letztere Problem bietet heise security einen Online-Check an: Eine harmlose Testdatei, die von allen Virenscannern erkannt wird (die EICAR-Testsignatur), wird entsprechend manipuliert versendet. Unsere Kunden, die ihre Mails mit ClamAV filtern, können dies gerne testen.