Re: SecurityFocus Newsletter #196 2003-5-5->2003-5-9



坂井@ラックです。

誤訳がありましたので修正部を再投稿致します。

II. BUGTRAQ SUMMARY
-------------------
10. GNU Privacy Guard Insecure Trust Path To User ID Weakness
BugTraq ID: 7497
リモートからの再現性: なし
公表日: May 05 2003 12:00AM
関連する URL:
http://www.securityfocus.com/bid/7497
まとめ:

GNU Privacy Guard はフリーかつオープンソースとして配布されている、様々
な環境で動作可能な PGP の置き換えとなるソフトウェアである。

このソフトウェアは複数のユーザ ID の信頼度の取り扱いに由来する問題を抱
えていると報告されている。報告によると、このソフトウェアは複数のユーザ
ID が設定された公開鍵において、各個人 ID に付与された信頼度の識別が不十
分である。付与される信頼度は全 ID に対し同一であり、該当の公開鍵におけ
る最も信頼度の高い ID の信頼度となる。

結果として最も信頼されている ID として信頼されている ID を含む鍵に関連
づけられている、信頼されていないユーザ ID が正当として見なされることに
なり、この際、データはなんら警告を発せられずに信頼されていない ID によっ
て暗号化される。また、この問題を利用する攻撃により、信頼するユーザ向け
に配布されることを想定された情報が漏洩する可能性がある。また、この問題
を用いる他の攻撃も可能であると推察される。

--
  SAKAI Yoriyuki           /----------------------------------->>
  sakai@lac.co.jp         /  Little eArth Corporation Co., Ltd.
<<-----------------------/   http://www.lac.co.jp/security/

smime.p7s