Bulletin d'alerte Debian

DSA-061-1 gnupg -- Attaque par printf format

Date du rapport :
16 juin 2001
Paquets concernés :
gnupg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2797.
Dans le dictionnaire CVE du Mitre : CVE-2001-0522.
Plus de précisions :
La version de GnuPG (GNU Privacy Guard, une implémentation OpenPGP) comme distribuée dans Debian GNU/Linux 2.2 souffre de deux problèmes :
  1. fish stiqz a rapporté sur bugtraq que un problème de format printf dans la fonction do_get() : il affichait un prompt qui incluait le nom de fichier qui était en train d'être décrypté sans vérification pour détecter de possibles attaques par format printf. Ceci pouvait être exploité en piégeant quelqu'un lors du décryptage d'un fichier avec un nom de fichier conçu pour cela.
  2. Le second bogue est lié à l'importation des clés secrètes : quand gnupg importait une clé secrète, il créait immédiatement la clé publique associée totalement sure qui change votre anneau de confiance sans demander de confirmation. Pour corriger cela, vous devez passer une option maintenant pour importer une clé secrète.

Les deux problèmes ont été corrigés dans la version 1.0.6-0potato1.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.6-0potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.6-0potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.6.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.6-0potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.6-0potato1_arm.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.6-0potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.6-0potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.6-0potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.6-0potato1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.