Debian セキュリティ勧告
gnupg -- 不正確な署名の検証
- 報告日時:
- 2000-11-11
- 影響を受けるパッケージ:
- gnupg
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2000-0974.
- 詳細:
- Debian GNU/Linux 2.2
に含まれる gnupg は、署名の正当性を確認するコードに論理的な誤りを持っており、
誤って正当な署名であるという結果を返す可能性があります。
この誤りは、Jim Small さんが発見したもので、
入力に複数の署名された部分を含んでいる場合、gnupg
は最後の部分の署名が正しいか否かしか exit-code で返さないために、
他の部分の署名が正しくないことが通知されないと言うものです。
このバグはバージョン 1.0.4-1 で修正されました。そのため、gnupg のバージョンをこのバージョンまでアップグレードされるよう勧告します。 注意していただきたいのはこのバージョンの gnupg は、gpg-rsa パッケージに依存せず、直接 RSA コードを取り込んでいると言うことです。 このことにより、
"load-extension rsa"
というコマンドを~/.gnupg/options
に入れる必要が無くなり、 取りのぞかなければいけなくなったことです。というのも、gnupg は存在しない extension を読み込もうとすると正常に動作しなくなるからです。 - 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
- Alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
- ARM:
- http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
- Sun SPARC:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb