Рекомендация Debian по безопасности
DSA-010-1 gnupg -- жульничество с отдельными подписями, обход сети доверия
- Дата сообщения:
- 25.12.2000
- Затронутые пакеты:
- gnupg
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
- Более подробная информация:
- В GnuPG недавно было обнаружено две ошибки:
- ложные срабатывания при проверке отдельных подписей
В способе выполнения проверки отдельных подписей присутствует проблема, которая может приводить к ложным срабатываниям. Отдельные подписи можно проверить при помощи следующей команды:
gpg --verify detached.sig < mydataЕсли кто-то заменяет detached.sig подписанным текстом (то есть, не отдельной подписью) и изменяет mydata, то gpg всё ещё будет сообщать об успешной проверке подписи.
Для исправления этого была изменена работа опции --verify. Теперь её требуются две опции при проверке отдельный подписей: и файл с отдельной подписью, и файл с проверяемыми данными. Заметьте, что это поведение не совместимо с предыдущими версиями!
- закрытые ключи импортируются без сообщения об этом
Флориан Ваймер обнаружил, что gpg молча импортирует закрытые ключи с серверов ключей. Поскольку gpg считает, что открытые ключи, соответствующие известным закрытым ключам, максимально доверенными, постольку злоумышленник может использовать эту уязвимость для того, чтобы обойти сеть доверия.
Для исправления этого была добавлена новая опция, которая позволяет gpg импортировать закрытые ключи: --allow-key-import.
- ложные срабатывания при проверке отдельных подписей
- Исправлено в:
-
Debian 2.2 (potato)
- Исходный код:
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb