Bulletin d'alerte Debian

gnupg -- Vérification incorrecte de la signature

Date du rapport :
11 novembre 2000
Paquets concernés :
gnupg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2000-0974.
Plus de précisions :
La version de gnupg distribuée dans la Debian GNU/Linux 2.2 contient une erreur logique dans le code qui vérifie la validité des signatures et peut causer un faux positif : Jim Small a découvert que si une entrée contient de multiples sections signées, le code de sortie retourné est seulement valide pour la dernière section, les autres sections étant ignorées.

Ce problème a été corrigé dans la version 1.0.4-1 et nous vous recommandons la mise à jour de votre paquet gpg relatif à cette version. Veuillez noter que cette version de gnupg inclus directement le code RSA et ne nécessite plus l'emploi du paquet gpg-rsa. Cela signifie que la commande "load-extension rsa" de ~/.gnupg/options n'a plus lieu d'être et doit être supprimée : gnupg ne fonctionnera pas correctement s'il tente de charger cette extension.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
Alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
ARM:
http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
Intel IA-32:
http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
PowerPC:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
Sun SPARC:
http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb