Aviso de seguridad de Debian
DSA-010-1 gnupg -- timando a las firmas separadas, evasión de la web de confianza
- Fecha del informe:
- 25 de dic de 2000
- Paquetes afectados:
- gnupg
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.
- Información adicional:
- Dos errores han sido encontrados recientemente en GnuPG:
- falsos positivos al verificar firmas separadas (detached)
Hay un problema en la forma en la que gpg verifica las firmas separadas que puede conducir a falsos positivos. Las firmas separadas puede ser verificadas con un comando como este:
gpg --verify detached.sig < misdatosSi alguien reemplazara detached.sig con un texto firmado (por ejemplo, una firma no separada) y luego modificara misdatos gpg aún informaría que que se ha verificado con éxito la firma.
Para arreglar esto, se ha cambiado la manera en la ue funciona la opción --verify: Ahora necesita dos opciones al verificar las firmas separadas: Tanto el archivo con la firma separada como el archivo con los datos a verificar. Fíjese en que esto lo hace incompatible con versiones anteriores.
- las claves secretas se importan de manera silenciosa
Florian Weimer descubrió que gpg importaba claves secretas de key-servers. Ya que gpg considera las claves públicas correspondientes a las claves secretas conocidas confiadas en última instancia, un atacante puede usar esto para evadir la web de confianza.
Para arreglar esto, se ha añadido una nueva opción para decirle a gpg que se le permite importar claves secretas: --allow-key-import.
- falsos positivos al verificar firmas separadas (detached)
- Arreglado en:
-
Debian 2.2 (potato)
- Fuentes:
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb