JVNDB-2010-002526
|
PGP Desktop にデータインジェクションの脆弱性
|
|
PGP Desktop 10.1.0 と PGP Desktop 10.0.3 およびそれ以前には、データインジェクションの脆弱性が存在します。なお、PGP Command Line 9.6 およびそれ以降のバージョンについては、この脆弱性は存在しません。
PGP Desktop のユーザインターフェースでは、正規に署名されたデータに署名されていないデータを混入させたメッセージに対して、メッセージ全体が署名されていると誤って表示される問題が存在します。この場合、ユーザは細工された署名されていないデータと署名されている正規データを識別することができません。
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
シマンテック
- Symantec PGP Desktop 10.0.3 およびそれ以前
- Symantec PGP Desktop 10.1.0
|
|
|
攻撃者によって細工されたメッセージが、あたかも PGP 署名された正規メッセージとして受け取られる可能性があります。
|
|
[アップデートする]
ベンダが提供する情報をもとに、PGP Desktop 10.0.3 SP2 もしくは 10.1.0 SP1 にアップデートしてください。
[ワークアラウンドを実施する]
ベンダから、以下の回避策が推奨されています。
”If you use PGP Desktop for Windows, do not use the Decrypt & Verify shortcut menu available when you right-click an OpenPGP message file. Instead, launch PGP Desktop, select File→Open, browse to the file name, and open the file. Alternately, double-click the file icon to have it opened in PGP Desktop automatically.”
|
|
シマンテック
|
|
- 暗号の問題(CWE-310) [NVD評価]
|
|
- CVE-2010-3618
|
|
- JVN : JVNVU#300785
- National Vulnerability Database (NVD) : CVE-2010-3618
- US-CERT Vulnerability Note : VU#300785
- Secunia Advisory : SA42293
- Secunia Advisory : SA42307
- ISS X-Force Database : 63366
- SecurityTracker : 1024760
|
|
|
