Informations de sécurité / 2000 / Informations sur la sécurité -- DSA-010-1 gnupg

Bulletin d'alerte Debian

DSA-010-1 gnupg -- Tricher avec les signatures séparées, échapper au réseau de confiance

Date du rapport :

25 décembre 2000

Paquets concernés :

gnupg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Deux bogues récents ont été trouvés dans GnuPG :

1. Faux positifs lors de la vérification des signatures détachées

   Il y a un problème dans le mode opératoire de gpg lorsqu'il vérifie les signatures séparées, ce qui peut amener à des faux positifs. Les signatures séparées peuvent être vérifiées par cette ligne de commande : gpg --verify detached.sig < mes_données

   Si quelqu'un remplace detached.sig par un texte signé (par exemple autre chose qu'une signature) et modifie de fait mes_données, gpg rapportera une signature vérifiée avec succès.

   Pour réparer cela, le mode opératoire --verify a changé : il nécessite maintenant deux options pour vérifier les signatures séparées : le fichier avec la signature séparée et le fichier avec les données à vérifier. Veuillez noter que cela le rend incompatible avec les versions ascendantes !

2. Les clefs secrètes sont importées silencieusement.

   Florian Weimer a découvert que gpg pourrait importer les clefs secrètes à partir des serveurs-clefs. Puisque gpg considère que les clefs publiques correspondent à des clefs secrètes connues dont la confiance est triviale, un attaquant peut s'en servir pour éviter le réseau de confiance.

   Pour réparer cela, une nouvelle option a été ajoutée pour signifier à gpg l'autorisation d'importer des clefs secrètes : --allow-key-import.

Corrigé dans :

Debian 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc

http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb