• IT-Karriere:
  • Services:

Libgcrypt: Warnung vor schwerem Fehler in GnuPG-Kryptobibliothek

Die jüngste Version der Verschlüsselungsbibliothek Libgcrypt, die unter anderem von GnuPG verwendet wird, soll eine schwere Sicherheitslücke haben.

Artikel veröffentlicht am ,
In der Verschlüsselungsbibliothek Libgcrypt wurde offenbar ein schwerer Fehler gefunden, ihr Autor warnt vor der Benutzung der aktuellen Version.
In der Verschlüsselungsbibliothek Libgcrypt wurde offenbar ein schwerer Fehler gefunden, ihr Autor warnt vor der Benutzung der aktuellen Version. (Bild: Fæ, Wikimedia Commons/CC-BY 2.0)

Eine dringende Warnung vor der Version 1.9.0 der Verschlüsselungsbibliothek Libgcrypt hat deren Autor Werner Koch verschickt. In der kürzlich veröffentlichten Version wurde demnach ein schwerer Fehler gefunden. Libgcrypt wird unter anderem von der Verschlüsselungssoftware GnuPG verwendet.

Stellenmarkt
  1. RENK AG, Augsburg
  2. über duerenhoff GmbH, Freiburg im Breisgau

Weitere Informationen gibt es bislang nicht, doch Koch bittet alle, sofort aufzuhören, diese Version zu benutzen. Libgcrypt 1.9.0 wurde am 19. Januar veröffentlicht. Eine der größten Neuerungen waren zahlreiche auf verschiedene CPUs optimierte Varianten von Algorithmen.

Koch kündigte an, im Laufe des Tages eine korrigierte Version von Libgcrypt zu veröffentlichen. Da die Version noch sehr neu ist, wird sie bisher nicht von vielen Linux-Distributionen genutzt. Koch erwähnt aber, dass Fedora 34 - eine aktuell noch nicht final veröffentlichte Testversion - und Gentoo Libgcrypt 1.9.0 bereits ausliefern. Auch Arch Linux enthält bereits ein Paket für diese Version.

Libgcrypt wird vor allem von GnuPG genutzt, aber auch einige andere Pakete greifen auf die Kryptographie-Funktionen dieser Bibliothek zurück. Beispiele sind etwa das Festplatten-Verschlüsselungstool cryptsetup oder das Tool sudo.

Nachtrag vom 29. Januar 2021, 12:35 Uhr

Inzwischen wurde die Version 1.9.1 veröffentlicht, die den Fehler korrigiert. Laut der Ankündigung handelt es sich um einen Heap Overflow, der von Tavis Ormandy, einem IT-Sicherheitsforscher von Googles Project Zero, entdeckt wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 469€)
  2. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)

Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT

MCST Elbrus: Die Zukunft von Russlands eigenen Prozessoren
MCST Elbrus
Die Zukunft von Russlands eigenen Prozessoren

32 Kerne für Server-CPUs, eine Videobeschleunigung für Notebooks und sogar SSDs: In Moskau wird die Elbrus-Plattform vorangetrieben.
Ein Bericht von Marc Sauter

  1. Anzeige Verkauf von AMDs Ryzen-5000-Serie startet
  2. Alder Lake S Intel bestätigt x86-Hybrid-Kerne für Desktop-CPUs
  3. Core i5-L16G7 (Lakefield) im Test Intels x86-Hybrid-CPU analysiert

Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


      •  /