Aviso de seguridad de Debian

gnupg -- verificación de firma incorrecta

Fecha del informe:

11 de nov de 2000

Paquetes afectados:

gnupg

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2000-0974.

Información adicional:

La versión de gnupg que se distribuía con Debian GNU/Linux 2.2 tenía un error lógico en el código que comprobaba las firmas válidas que podía causar como resultado falsos positivos: Jim Small descubrió que si la entrada contenía múltiples secciones firmadas el código de salida de gnupg devuelto sólo era válido para la última sección, firmando de forma inadecuada otras secciones que no eran avisadas.

Esto ha sido arreglado en la versión 1.0.4-1, y le recomendamos que actualice su paquete gnupg a esta versión. Fíjese en que esta versión de gnupg incluye el código RSA directamente en lugar de relegarlo al paquete gpg-rsa. Esto significa que el comando "load-extension rsa" de ~/.gnupg/options no se necesita más y puede ser borrado: gnupg no funcionará correctamente si intenta cargar una extensión que no está presente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc; http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
Intel IA-32:: http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb