Рекомендация Debian по безопасности

gnupg -- некорректная проверка подписи

Дата сообщения:
11.11.2000
Затронутые пакеты:
gnupg
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2000-0974.
Более подробная информация:
Версия gnupg, поставляемая в составе Debian GNU/Linux 2.2, содержит логическую ошибку в коде для проверки правильности подписей, которая может приводить к ложным срабатываниям: Джим Смолл обнаружил, что если входные данные содержат несколько подписанных разделов, то код выхода, возвращаемый gnupg, правилен только для последнего раздела, из-за этого неправильно подписанные разделы перед последним не замечаются.

Эта уязвимость была исправлена в версии 1.0.4-1, рекомендуется обновить пакет gnupg до этой версии. Заметьте, что эта версия gnupg содержит код RSA, а не обращается к пакету gpg-rsa. Это означает, что команда "load-extension rsa" в ~/.gnupg/options более не нужна и должна быть удалена: gnupg будет работать некорректно в том случае, если будет произведена попытка загрузить отсутствующее расширение.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc
http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
Alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
ARM:
http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
Intel IA-32:
http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
PowerPC:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
Sun SPARC:
http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb