Säkerhetsbulletin från Debian
DSA-010-1 gnupg -- fuska med separata signaturer, kringgående av förtroendeväven
- Rapporterat den:
- 2000-12-25
- Berörda paket:
- gnupg
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
- Ytterligare information:
- Två fel har nyligen upptäckts i GnuPG:
- Falska positiva resultat när separata signaturer verifieras
Det finns ett problem i det sätt gpg kontrollerar separata signaturer (
detached signatures
), vilket kan leda till falska positiva resultat. Separata signaturer kan verifieras med en kommandorad på denna form:gpg --verify separat.sig < minadataOm någon ersatte separat.sig med en signerad text (dvs. inte en separat signatur) och sedan modifierade minadata skulle gpg fortfarande rapportera att signaturen verifierats korrekt.
För att rätta detta har sättet --verify-flaggan arbetar på ändrats: Den behöver nu två flaggor när separata signaturer verifieras: Både filen med den separata signaturen och filen med det data som skall verifieras. Notera att detta gör den inkompatibel med äldre versioner!
- Hemliga nyckler importeras tyst
Florian Weimer upptäckte att gpg importerar hemliga nycklar från nyckelservrar. Eftersom gpg anser att öppna nycklar som motsvarar kända hemliga nycklar att vara ovedersägligen betrodda kan en angripare använda detta för att gå runt pålitlighetsnätverket (
web of trust
).För att rätta detta har en ny flagga lagts till för att tala om för gpg att den har tillåtelse att importera hemliga nycklar: --allow-key-import.
- Falska positiva resultat när separata signaturer verifieras
- Rättat i:
-
Debian 2.2 (potato)
- Källkod:
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
-
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
- alpha:
-
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
- arm:
-
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
- i386:
-
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
- m68k:
-
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
- powerpc:
-
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
- sparc:
-
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb