Debian-Sicherheitsankündigung

gnupg -- Nicht korrekte Signatur-Überprüfung

Datum des Berichts:
11. Nov 2000
Betroffene Pakete:
gnupg
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2000-0974.
Weitere Informationen:
Die Version von gnupg, die in Debian GNU/Linux 2.2 verbreitet wurde, hatte einen logischen Fehler im Code, der auf gültige Signaturen prüft, der zu falschen positiven Ergebnissen führen kann: Jim Small entdeckte, falls die Eingabe mehrfach signierte Sektionen enthielt, der Rückgabewert von gnupg nur für die letzte Sektion gültig war und so andere nicht korrekt signierte Sektionen nicht bemerkt werden.

Dies wurde in Version 1.0.4-1 behoben, und wir empfehlen Ihnen, Ihr gnupg-Paket auf diese Version zu aktualisieren. Bitte beachten Sie, dass diese Version von gnupg den RSA-Code direkt beinhaltet anstelle sich auf das gpg-rsa Paket zu verlassen. Dies bedeutet, dass der "load-extension rsa" Befehl in ~/.gnupg/options nicht mehr benötigt wird und gelöscht werden muss: gnupg wird nicht ordnungsgemäß funktionieren, wenn es eine Erweiterung laden will, die nicht verfügbar ist.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
Alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
ARM:
http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
Intel IA-32:
http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
PowerPC:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
Sun SPARC:
http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb