Debian セキュリティ勧告

gnupg -- 不正確な署名の検証

報告日時:
2000-11-11
影響を受けるパッケージ:
gnupg
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2000-0974.
詳細:
Debian GNU/Linux 2.2 に含まれる gnupg は、署名の正当性を確認するコードに論理的な誤りを持っており、 誤って正当な署名であるという結果を返す可能性があります。 この誤りは、Jim Small さんが発見したもので、 入力に複数の署名された部分を含んでいる場合、gnupg は最後の部分の署名が正しいか否かしか exit-code で返さないために、 他の部分の署名が正しくないことが通知されないと言うものです。

このバグはバージョン 1.0.4-1 で修正されました。そのため、gnupg のバージョンをこのバージョンまでアップグレードされるよう勧告します。 注意していただきたいのはこのバージョンの gnupg は、gpg-rsa パッケージに依存せず、直接 RSA コードを取り込んでいると言うことです。 このことにより、 "load-extension rsa" というコマンドを ~/.gnupg/options に入れる必要が無くなり、 取りのぞかなければいけなくなったことです。というのも、gnupg は存在しない extension を読み込もうとすると正常に動作しなくなるからです。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
Alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
ARM:
http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
Intel IA-32:
http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
PowerPC:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
Sun SPARC:
http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb