 |
|
A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos |
 | CERT Advisory CA-2000-18Vulnerabilidade envolvendo o PGP (Pretty Good Privacy) [CERT/CC, 24.08.2000, revisão 01] CAIS está repassando o alerta do CERT/CC sobre uma nova vulnerabilidade envolvendo o PGP (Pretty Good Privacy). A vulnerabilidade está relacionada a um recurso denominado ADKs (Additional Decryption Keys), que permite a inclusão de chaves adicionais para "descriptografar" textos cifrados. Um problema na implementação desta funcionalidade permite que um atacante adicione uma chave extra, e então, as informações cifradas a partir daí possam ser lidas pelo atacante. É o mesmo que ter duas chaves que abram a mesma porta. Estão vulneráveis as versões 5.5.x até a atual, 6.5.3. Observe que as versões 2.6.x não estão vulneráveis. Existe uma nova versão atualizada que corrige o problema, mantendo no entando o mesmo numero da última versão, 6.5.3. Tal versão pode ser encontrada nos sites oficias do PGP. É necessário que se verifique a existência de ADKs, porém não há como fazer essa verificação nas versões unix do PGP, sendo que uma alternativa é importar suas chaves para uma versão PGP para Windows, e então, clicar em "Propriedades da Chave (Key Properties)" e procurar por alguma chave adicional (ADKs). Apesar de ser um ataque um tanto quanto sofisticado, a natureza de utilização do PGP, que é a proteção de dados confidenciais, pode incentivar o atacante a explorar essa falha de segurança. Finalmente, vale a pena relembrar a importância de se manter uma cópia das chaves publica/privada, pois sem elas é impossível recuperar qualquer material que foi criptografado. Qualquer novidade relativa a esta vulnerabilidade será notificada pelo CAIS |  Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS
Contato com o Cais: +55 (19) 3787-3300 |
