Libgcrypt: Warnung vor schwerem Fehler in GnuPG-Kryptobibliothek

Die jüngste Version der Verschlüsselungsbibliothek Libgcrypt, die unter anderem von GnuPG verwendet wird, soll eine schwere Sicherheitslücke haben.

Artikel veröffentlicht am ,
In der Verschlüsselungsbibliothek Libgcrypt wurde offenbar ein schwerer Fehler gefunden, ihr Autor warnt vor der Benutzung der aktuellen Version.
In der Verschlüsselungsbibliothek Libgcrypt wurde offenbar ein schwerer Fehler gefunden, ihr Autor warnt vor der Benutzung der aktuellen Version. (Bild: Fæ, Wikimedia Commons/CC-BY 2.0)

Eine dringende Warnung vor der Version 1.9.0 der Verschlüsselungsbibliothek Libgcrypt hat deren Autor Werner Koch verschickt. In der kürzlich veröffentlichten Version wurde demnach ein schwerer Fehler gefunden. Libgcrypt wird unter anderem von der Verschlüsselungssoftware GnuPG verwendet.

Stellenmarkt
  1. IT-Sachbearbeitung (m/w/d)
    Niedersächsischer Landtag Landtagsverwaltung, Hannover
  2. Wissenschaftlicher Mitarbeiter (m/w/d) Datenanalyse / Epidemiologie
    Medizinische Fakultät Mannheim, Mannheim
Detailsuche

Weitere Informationen gibt es bislang nicht, doch Koch bittet alle, sofort aufzuhören, diese Version zu benutzen. Libgcrypt 1.9.0 wurde am 19. Januar veröffentlicht. Eine der größten Neuerungen waren zahlreiche auf verschiedene CPUs optimierte Varianten von Algorithmen.

Koch kündigte an, im Laufe des Tages eine korrigierte Version von Libgcrypt zu veröffentlichen. Da die Version noch sehr neu ist, wird sie bisher nicht von vielen Linux-Distributionen genutzt. Koch erwähnt aber, dass Fedora 34 - eine aktuell noch nicht final veröffentlichte Testversion - und Gentoo Libgcrypt 1.9.0 bereits ausliefern. Auch Arch Linux enthält bereits ein Paket für diese Version.

Libgcrypt wird vor allem von GnuPG genutzt, aber auch einige andere Pakete greifen auf die Kryptographie-Funktionen dieser Bibliothek zurück. Beispiele sind etwa das Festplatten-Verschlüsselungstool cryptsetup oder das Tool sudo.

Nachtrag vom 29. Januar 2021, 12:35 Uhr

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
  3. Linux-Shellprogrammierung
    2.-5. November 2021, online
Weitere IT-Trainings

Inzwischen wurde die Version 1.9.1 veröffentlicht, die den Fehler korrigiert. Laut der Ankündigung handelt es sich um einen Heap Overflow, der von Tavis Ormandy, einem IT-Sicherheitsforscher von Googles Project Zero, entdeckt wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Malware
Mehrere Kliniken nach Hackerangriff vom Netz genommen

Neben den Kliniken seien auch Bildungseinrichtungen von dem Malware-Angriff betroffen. Sicherheitshalber wird nun mit Papier und Stift gearbeitet.

Malware: Mehrere Kliniken nach Hackerangriff vom Netz genommen
Artikel
  1. Ocean Plastic Mouse: Microsoft baut Maus aus recyceltem Ozeanplastik
    Ocean Plastic Mouse
    Microsoft baut Maus aus recyceltem Ozeanplastik

    Die Ocean Plastic Mouse von Microsoft ist eine kabellose Maus, die aus einem besonderen Material gefertigt wurde.

  2. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

  3. Y - The Last Man: Eine Welt der Frauen
    Y - The Last Man
    Eine Welt der Frauen

    Vor knapp 20 Jahren wurde das erste Comic-Heft veröffentlicht, einige Jahre war die Fernsehserie Y - The Last Man in Entwicklung. Jetzt ist sie endlich bei Disney+.
    Eine Rezension von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital + 2. Dualsense + FIFA 22 mit o2-Vertrag bestellbar • Samsung T7 Portable SSD 1TB 105,39€ • Thermaltake Level 20 RS ARGB Tower 99,90€ • Gran Turismo 7 25th Anniv. vorbestellbar 99,99€ [Werbung]
    •  /