Debian-Sicherheitsankündigung
DSA-010-1 gnupg -- Betrügen mit abgelösten Signaturen, Umgehen des Web-of-Trust
- Datum des Berichts:
- 25. Dez 2000
- Betroffene Pakete:
- gnupg
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
- Weitere Informationen:
- Zwei Fehler in GnuPG wurden kürzlich gefunden:
- Falsche korrekte Anzeigen, wenn abgelöste Signaturen überprüft werden
Es gibt ein Problem in der Art, wie gpg abgelöste Signaturen prüft, was zu falsch korrekten Anzeigen führen kann. Abgelöste Signaturen können mit einem Befehl wie diesem geprüft werden:
gpg --verify abgelöste.sig < meineDatenWenn jemand abgelöste.sig mit einem signierten Text ersetzt (d.h. nicht einer abgelösten Signatur) und dann meineDaten modifiziert, würde gpg immer noch von einer korrekt überprüften Signatur berichten.
Um dies zu beheben, wurde die Art, in der die --verify Option funktioniert, geändert: Sie benötigt nun zwei Optionen, wenn abgelöste Signaturen geprüft werden: Sowohl die Datei mit der abgelösten Signatur als auch die Datei mit den Daten, die geprüft werden sollen. Bitte beachten Sie, dass diese Änderung mit älteren Versionen nicht kompatibel ist!
- Geheime Schlüssel werden stillschweigend importiert
Florian Weimer entdeckte, dass gpg geheime Schlüssel vom Schlüssel-Server importieren würde. Da gpg öffentliche Schlüssel, die zu bekannten geheimen Schlüsseln gehören, absolut vertraut, könnte ein Angreifer dies dazu verwenden, das Web-of-Trust zu umgehen.
Um dies zu beheben, wurde eine neue Option zu gpg hinzugefügt, um ihm zu zu erlauben, geheime Schlüssel zu importieren: --allow-key-import.
- Falsche korrekte Anzeigen, wenn abgelöste Signaturen überprüft werden
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb