Libgcrypt: Warnung vor schwerem Fehler in GnuPG-Kryptobibliothek
Die jüngste Version der Verschlüsselungsbibliothek Libgcrypt, die unter anderem von GnuPG verwendet wird, soll eine schwere Sicherheitslücke haben.
Eine dringende Warnung vor der Version 1.9.0 der Verschlüsselungsbibliothek Libgcrypt hat deren Autor Werner Koch verschickt. In der kürzlich veröffentlichten Version wurde demnach ein schwerer Fehler gefunden. Libgcrypt wird unter anderem von der Verschlüsselungssoftware GnuPG verwendet.
Weitere Informationen gibt es bislang nicht, doch Koch bittet alle, sofort aufzuhören, diese Version zu benutzen. Libgcrypt 1.9.0 wurde am 19. Januar veröffentlicht. Eine der größten Neuerungen waren zahlreiche auf verschiedene CPUs optimierte Varianten von Algorithmen.
Koch kündigte an, im Laufe des Tages eine korrigierte Version von Libgcrypt zu veröffentlichen. Da die Version noch sehr neu ist, wird sie bisher nicht von vielen Linux-Distributionen genutzt. Koch erwähnt aber, dass Fedora 34 - eine aktuell noch nicht final veröffentlichte Testversion - und Gentoo Libgcrypt 1.9.0 bereits ausliefern. Auch Arch Linux enthält bereits ein Paket für diese Version.
Libgcrypt wird vor allem von GnuPG genutzt, aber auch einige andere Pakete greifen auf die Kryptographie-Funktionen dieser Bibliothek zurück. Beispiele sind etwa das Festplatten-Verschlüsselungstool cryptsetup oder das Tool sudo.
Nachtrag vom 29. Januar 2021, 12:35 Uhr
Inzwischen wurde die Version 1.9.1 veröffentlicht, die den Fehler korrigiert. Laut der Ankündigung handelt es sich um einen Heap Overflow, der von Tavis Ormandy, einem IT-Sicherheitsforscher von Googles Project Zero, entdeckt wurde.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
