Рекомендация Debian по безопасности

gnupg -- некорректная проверка подписи

Дата сообщения:

11.11.2000

Затронутые пакеты:

gnupg

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2000-0974.

Более подробная информация:

Версия gnupg, поставляемая в составе Debian GNU/Linux 2.2, содержит логическую ошибку в коде для проверки правильности подписей, которая может приводить к ложным срабатываниям: Джим Смолл обнаружил, что если входные данные содержат несколько подписанных разделов, то код выхода, возвращаемый gnupg, правилен только для последнего раздела, из-за этого неправильно подписанные разделы перед последним не замечаются.

Эта уязвимость была исправлена в версии 1.0.4-1, рекомендуется обновить пакет gnupg до этой версии. Заметьте, что эта версия gnupg содержит код RSA, а не обращается к пакету gpg-rsa. Это означает, что команда "load-extension rsa" в ~/.gnupg/options более не нужна и должна быть удалена: gnupg будет работать некорректно в том случае, если будет произведена попытка загрузить отсутствующее расширение.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.diff.gz; http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4-1.dsc; http://security.debian.org/dists/potato/updates/main/source/gnupg_1.0.4.orig.tar.gz
Alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/gnupg_1.0.4-1_alpha.deb
ARM:: http://security.debian.org/dists/potato/updates/main/binary-arm/gnupg_1.0.4-1_arm.deb
Intel IA-32:: http://security.debian.org/dists/potato/updates/main/binary-i386/gnupg_1.0.4-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/potato/updates/main/binary-m68k/gnupg_1.0.4-1_m68k.deb
PowerPC:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/gnupg_1.0.4-1_powerpc.deb
Sun SPARC:: http://security.debian.org/dists/potato/updates/main/binary-sparc/gnupg_1.0.4-1_sparc.deb