GnuPG工具在处理邮件内置的签名时存在验证的漏洞

受影响系统： GNU Privacy Guard < 1.4.2.2不受影响系统： GNU Privacy Guard 1.4.2.2描述： GnuPG是基于OpenPGP标准的PGP加密、解密、签名工具。GnuPG在处理邮件内置的签名时存在验证漏洞，攻击者可能利用此漏洞在邮件中插入额外的数据。GnuPG在提取已签名的数据时，数据可能前置或后缀了签名没有没有覆盖到的额外数据，这样攻击者就可以利用签名消息注入额外的任意数据。补丁下载：DebianDebian已经为此发布了一个安全公告（DSA-993-2）以及相应补丁:DSA-993-2：New GnuPG packages fix broken signature check链接：http://www.debian.org/security/2005/dsa-993