Katalog CVE

CVE-2019-14855

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W GnuPG przed wersją 2.2.18 odkryto podatność umożliwiającą fałszowanie podpisów certyfikatów poprzez wykorzystanie kolizji w algorytmie SHA-1. Atakujący może stworzyć fałszywe podpisy certyfikatów, co zagraża integralności uwierzytelniania.

Ocena ryzyka

Organizacja narażona jest na ryzyko akceptacji sfałszowanych certyfikatów, co może prowadzić do podszywania się pod zaufane podmioty i naruszenia bezpieczeństwa komunikacji.

Rekomendacja

Należy niezwłocznie zaktualizować GnuPG do wersji 2.2.18 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the way certificate signatures could be forged using collisions found in the SHA-1 algorithm. An attacker could use this weakness to create forged certificate signatures. This issue affects GnuPG versions before 2.2.18.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS