CVE-2019-14855
NiskieStreszczenie
W GnuPG przed wersją 2.2.18 odkryto podatność umożliwiającą fałszowanie podpisów certyfikatów poprzez wykorzystanie kolizji w algorytmie SHA-1. Atakujący może stworzyć fałszywe podpisy certyfikatów, co zagraża integralności uwierzytelniania.
Ocena ryzyka
Organizacja narażona jest na ryzyko akceptacji sfałszowanych certyfikatów, co może prowadzić do podszywania się pod zaufane podmioty i naruszenia bezpieczeństwa komunikacji.
Rekomendacja
Należy niezwłocznie zaktualizować GnuPG do wersji 2.2.18 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the way certificate signatures could be forged using collisions found in the SHA-1 algorithm. An attacker could use this weakness to create forged certificate signatures. This issue affects GnuPG versions before 2.2.18.

