Säkerhetsbulletin från Debian
gnupg -- inkorrekt signaturverifiering
- Rapporterat den:
- 2000-11-11
- Berörda paket:
- gnupg
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2000-0974.
- Ytterligare information:
-
Versionen av gnupg som medföljde Debian GNU/Linux 2.2 innehöll ett logikfel
i koden som kontrollerar giltiga signaturer, vilket kunde leda till falska
positiva resultat:
Jim Snall upptäckte att om indata innehöll flera signerade sektioner var
returvärdet från gnupg endast giltigt för det sista stycket, så andra
felaktigt signerade delar upptäcktes inte.
Detta har rättats i version 1.0.4-1, och vi rekommenderar att du uppgraderar ditt gnupg-paket till den versionen. Notera att denna version av gnupg innehåller RSA-kod direkt istället för att vara beroende av paketet gpg-rsa. Detta betyder att kommandot
"load-extension rsa"i~/.gnupg/optionsinte längre behövs och måste tas bort: gnupg fungerar inte korrekt om det försöker läsa in en utökning som inte existerar. - Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb