S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 septembre 2002
N° CERTA-2002-AVI-204
Affaire suivie par: CERT-FR
le 09 septembre 2002

Avis du CERT-FR

Objet: Vulnérabilité de PGP

Gestion du document

Référence CERTA-2002-AVI-204
Titre Vulnérabilité de PGP
Date de la première version 09 septembre 2002
Date de la dernière version 09 septembre 2002
Source(s) Avis de sécurité de Foundstone Labs
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • divulgation du mot de passe associé à la clé privée PGP.

Systèmes affectés

PGP Corporate Desktop 7.1.1 sur Windows 2000 et XP.

Résumé

Une vulnérabilité de PGP de type débordement de mémoire permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance, et de récupérer le mot de passe associé à la clé privée de la victime.

Description

Dans les fonctions de chiffremenent et de déchiffrement d'un fichier, il est possible d'exploiter une vulnérabilité de type débordement de mémoire en utilisant un nom de fichier trop long.

Un utilisateur mal intentionné peut ainsi chiffrer un message habilement conçu et le faire déchiffrer par la victime. Il lui est alors possible d'exécuter des commandes sur la machine cible, et de récupérer le mot de passe associé à la clé privée de la victime. En effet, le débordement de mémoire a lieu juste après le déchiffrement du fichier, et avant l'effacement de la mémoire contenant le mot de passe.

Solution

Appliquer le correctif publié par NAI (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 septembre 2002
    version initiale.