Debian-Sicherheitsankündigung
gnupg -- Nicht korrekte Signatur-Überprüfung
- Datum des Berichts:
- 11. Nov 2000
- Betroffene Pakete:
- gnupg
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-0974.
- Weitere Informationen:
-
Die Version von gnupg, die in Debian GNU/Linux 2.2 verbreitet wurde, hatte
einen logischen Fehler im Code, der auf gültige Signaturen prüft, der zu
falschen positiven Ergebnissen führen kann: Jim Small entdeckte, falls die
Eingabe mehrfach signierte Sektionen enthielt, der Rückgabewert von gnupg nur
für die letzte Sektion gültig war und so andere nicht korrekt signierte
Sektionen nicht bemerkt werden.
Dies wurde in Version 1.0.4-1 behoben, und wir empfehlen Ihnen, Ihr gnupg-Paket auf diese Version zu aktualisieren. Bitte beachten Sie, dass diese Version von gnupg den RSA-Code direkt beinhaltet anstelle sich auf das gpg-rsa Paket zu verlassen. Dies bedeutet, dass der
"load-extension rsa"
Befehl in~/.gnupg/options
nicht mehr benötigt wird und gelöscht werden muss: gnupg wird nicht ordnungsgemäß funktionieren, wenn es eine Erweiterung laden will, die nicht verfügbar ist. - Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb