Libgcrypt: Warnung vor schwerem Fehler in GnuPG-Kryptobibliothek

Die jüngste Version der Verschlüsselungsbibliothek Libgcrypt, die unter anderem von GnuPG verwendet wird, soll eine schwere Sicherheitslücke haben.

Artikel veröffentlicht am ,
In der Verschlüsselungsbibliothek Libgcrypt wurde offenbar ein schwerer Fehler gefunden, ihr Autor warnt vor der Benutzung der aktuellen Version.
In der Verschlüsselungsbibliothek Libgcrypt wurde offenbar ein schwerer Fehler gefunden, ihr Autor warnt vor der Benutzung der aktuellen Version. (Bild: Fæ, Wikimedia Commons/CC-BY 2.0)

Eine dringende Warnung vor der Version 1.9.0 der Verschlüsselungsbibliothek Libgcrypt hat deren Autor Werner Koch verschickt. In der kürzlich veröffentlichten Version wurde demnach ein schwerer Fehler gefunden. Libgcrypt wird unter anderem von der Verschlüsselungssoftware GnuPG verwendet.

Stellenmarkt
  1. Leiter des Sachgebiets Bildungs-IT (m/w/d)
    Stadt Villingen-Schwenningen, Villingen-Schwenningen
  2. Informatiker als IT Projektleiter SAP S / 4HANA Energiebranche (m/w/d)
    Thüga SmartService GmbH, München, Freiburg, Naila
Detailsuche

Weitere Informationen gibt es bislang nicht, doch Koch bittet alle, sofort aufzuhören, diese Version zu benutzen. Libgcrypt 1.9.0 wurde am 19. Januar veröffentlicht. Eine der größten Neuerungen waren zahlreiche auf verschiedene CPUs optimierte Varianten von Algorithmen.

Koch kündigte an, im Laufe des Tages eine korrigierte Version von Libgcrypt zu veröffentlichen. Da die Version noch sehr neu ist, wird sie bisher nicht von vielen Linux-Distributionen genutzt. Koch erwähnt aber, dass Fedora 34 - eine aktuell noch nicht final veröffentlichte Testversion - und Gentoo Libgcrypt 1.9.0 bereits ausliefern. Auch Arch Linux enthält bereits ein Paket für diese Version.

Libgcrypt wird vor allem von GnuPG genutzt, aber auch einige andere Pakete greifen auf die Kryptographie-Funktionen dieser Bibliothek zurück. Beispiele sind etwa das Festplatten-Verschlüsselungstool cryptsetup oder das Tool sudo.

Nachtrag vom 29. Januar 2021, 12:35 Uhr

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Inzwischen wurde die Version 1.9.1 veröffentlicht, die den Fehler korrigiert. Laut der Ankündigung handelt es sich um einen Heap Overflow, der von Tavis Ormandy, einem IT-Sicherheitsforscher von Googles Project Zero, entdeckt wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /