Bulletin d'alerte Debian

DSA-010-1 gnupg -- Tricher avec les signatures séparées, échapper au réseau de confiance

Date du rapport :
25 décembre 2000
Paquets concernés :
gnupg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :
Deux bogues récents ont été trouvés dans GnuPG :
  1. Faux positifs lors de la vérification des signatures détachées

    Il y a un problème dans le mode opératoire de gpg lorsqu'il vérifie les signatures séparées, ce qui peut amener à des faux positifs. Les signatures séparées peuvent être vérifiées par cette ligne de commande : gpg --verify detached.sig < mes_données

    Si quelqu'un remplace detached.sig par un texte signé (par exemple autre chose qu'une signature) et modifie de fait mes_données, gpg rapportera une signature vérifiée avec succès.

    Pour réparer cela, le mode opératoire --verify a changé : il nécessite maintenant deux options pour vérifier les signatures séparées : le fichier avec la signature séparée et le fichier avec les données à vérifier. Veuillez noter que cela le rend incompatible avec les versions ascendantes !

  2. Les clefs secrètes sont importées silencieusement.

    Florian Weimer a découvert que gpg pourrait importer les clefs secrètes à partir des serveurs-clefs. Puisque gpg considère que les clefs publiques correspondent à des clefs secrètes connues dont la confiance est triviale, un attaquant peut s'en servir pour éviter le réseau de confiance.

    Pour réparer cela, une nouvelle option a été ajoutée pour signifier gpg l'autorisation d'importer des clefs secrètes : --allow-key-import.

Corrigé dans :

Debian 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb