{ "document" : { "aggregate_severity" : { "text" : "niedrig" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "OpenPGP ist ein Protokoll zur Verschlüsselung von E-Mail-Kommunikation mit Hilfe von Public-Key-Kryptographie.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenPGP ausnutzen, um falsche Informationen darzustellen.", "title" : "Angriff" }, { "category" : "general", "text" : "- UNIX\n- Linux\n- MacOS X\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-2211 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2211.json" }, { "category" : "self", "summary" : "WID-SEC-2023-2211 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2211" }, { "category" : "external", "summary" : "Openpgp Security Notification vom 2023-08-29", "url" : "https://github.com/advisories/GHSA-ch3c-v47x-4pgp" } ], "source_lang" : "en-US", "title" : "OpenPGP: Schwachstelle ermöglicht Darstellen falscher Informationen", "tracking" : { "current_release_date" : "2023-08-29T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:57:49.056+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-2211", "initial_release_date" : "2023-08-29T22:00:00.000+00:00", "revision_history" : [ { "date" : "2023-08-29T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Specification OpenPGP < 5.10.1", "product" : { "name" : "Specification OpenPGP < 5.10.1", "product_id" : "T029615", "product_identification_helper" : { "cpe" : "cpe:/a:specification:open_pgp:5.10.1" } } }, { "category" : "product_name", "name" : "Specification OpenPGP < 4.10.11", "product" : { "name" : "Specification OpenPGP < 4.10.11", "product_id" : "T029616", "product_identification_helper" : { "cpe" : "cpe:/a:specification:open_pgp:4.10.11" } } } ], "category" : "product_name", "name" : "OpenPGP" } ], "category" : "vendor", "name" : "Specification" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-41037", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in OpenPGP. Dieser Fehler besteht in der Kryptographie der Cleartext Signed Messages, wodurch es möglich ist, Benutzern vorzugaukeln, dass der Text als Teil einer legitimen Meldung signiert wurde. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um falsche Informationen zu präsentieren. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion." } ], "release_date" : "2023-08-29T22:00:00.000+00:00", "title" : "CVE-2023-41037" } ] }