Aviso de seguridad de Debian

DSA-1266-1 gnupg -- varias vulnerabilidades

Fecha del informe:
13 de mar de 2007
Paquetes afectados:
gnupg
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 413922, error 414170.
En el diccionario CVE de Mitre: CVE-2007-1263.
Información adicional:

Gerardo Richarte descubrió que GnuPG, un reemplazo libre para PGP, no proporcionaba suficiente realimentación del usuario si un mensaje OpenPGP contenía tanto porciones firmadas como no firmadas. Al insertar segmentos de texto en un mensaje que debiera estar firmado, se podía usar un exploit para falsificar el contenido de los mensajes firmados. Esta actualización evita este tipo de ataques. El comportamiento anteriormente descrito aún se puede activar si se pasa la opción --allow-multiple-messages.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.4.1-1.sarge7.

Para la próxima versión estable (etch), estos problmas se han corregido en la versión 1.4.6-2.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.4.6-2.

Le recomendamos que actualice los paquetes de gnupg.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7.dsc
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7.diff.gz
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_arm.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.