发布日期：2000-10-16
更新日期：2000-10-16

受影响系统：

GnuPG 1.0.3
GnuPG 1.0.2
GnuPG 1.0.1
GnuPG 1.0

不受影响系统：

GnuPG 1.0.3b

描述：

---

GnuPG 是一种公开密钥体系。所有低于1.0.3b版的GnuPG均存在一个严重漏洞。在验
证处理多重签名文件时，GnuPG只验证了第一个签名，攻击者有可能更改内容但不影
响第一个签名的有效性。更多技术细节参看Werner Koch的报告。

<* 来源：Jim Small (cavenewt@my-deja.com)
         Werner Koch (wk@gnupg.org)
*>


建议：

---

临时方案：

NSFOCUS 建议您尽快升级到最新版本，或者换用其他的同类软件

厂商补丁：

GnuPG的升级版源代码树：
ftp://ftp.guug.de/gcrypt/devel/gnupg-1.0.3b.tar.gz
ftp://ftp.guug.de/gcrypt/devel/gnupg-1.0.3b.tar.gz.sig


浏览次数：5421
严重程度：0（网友投票）