Bulletin d'alerte Debian

gnupg -- Vérification incorrecte de la signature

Date du rapport :

11 novembre 2000

Paquets concernés :

gnupg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2000-0974.

Plus de précisions :

La version de gnupg distribuée dans la Debian GNU/Linux 2.2 contient une erreur logique dans le code qui vérifie la validité des signatures et peut causer un faux positif : Jim Small a découvert que si une entrée contient de multiples sections signées, le code de sortie retourné est seulement valide pour la dernière section, les autres sections étant ignorées.

Ce problème a été corrigé dans la version 1.0.4-1 et nous vous recommandons la mise à jour de votre paquet gpg relatif à cette version. Veuillez noter que cette version de gnupg inclus directement le code RSA et ne nécessite plus l'emploi du paquet gpg-rsa. Cela signifie que la commande "load-extension rsa" de ~/.gnupg/options n'a plus lieu d'être et doit être supprimée : gnupg ne fonctionnera pas correctement s'il tente de charger cette extension.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc; http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
Intel IA-32:: http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb