PGP-Schlüssel verlängert
Wir haben die Gültigkeit unseres PGP-Keys heute um fünf Jahre verlängert. Wer unseren Key bei sich gespeichert hat, sollte ihn entweder über die bekannten Keyserver aktualisieren oder den Schlüssel hier herunterladen und erneut importieren. Unser Schlüssel hat die ID E75A2062 und folgenden Fingerprint:
9FDD 2D51 C10C 448F 0E47 423A EEC7 D596 E75A 2062
Sicherheitsprobleme in GnuPG und ClamAV
Gleich zwei kritischere Sicherheitslücken gab es heute zu vermelden: Zum einen vermeldet der Autor des Verschlüsselungstools GnuPG, Werner Koch, über ein von extern manipulierbaren Funtionszeiger. Sämtliche Systeme, die externe Eingaben mit GnuPG überprüfen oder entschlüsseln, sind damit gefährdet. Ein Update auf Version 1.4.6 ist verfügbar, für Version 2.0.1 steht ein Patch bereit.
Desweiteren untersuchte Hendrik Weimer verschiedene Virenscanner auf ihr Verhalten bei fehlerhaft BASE64-codierten Anhängen. Mehrere der untersuchten Scanner scheiterten hier, darunter auch ClamAV. Ein Patch findet sich hier im CVS des Projekts.
Beide Pakete wurden auf dem schokokeks.org Server bereits aktualisiert, für das letztere Problem bietet heise security einen Online-Check an: Eine harmlose Testdatei, die von allen Virenscannern erkannt wird (die EICAR-Testsignatur), wird entsprechend manipuliert versendet. Unsere Kunden, die ihre Mails mit ClamAV filtern, können dies gerne testen.