Informations de sécurité / 2006 / Informations sur la sécurité -- DSA-978-1 gnupg

Bulletin d'alerte Debian

DSA-978-1 gnupg -- Erreur de programmation

Date du rapport :

17 février 2006

Paquets concernés :

gnupg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2006-0455.

Plus de précisions :

Tavis Ormandy a remarqué que pour gnupg, le gardien GNU de la vie privée (« the GNU privacy guard ») et remplaçant libre de PGP, un fichier de signature externe pouvait être considéré valide alors qu'il ne contenait aucune signature.

Pour l'ancienne distribution stable (Woody), ce problème a été corrigé dans la version 1.0.6-4woody4.

Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 1.4.1-1sarge1.

Pour la distribution instable (Sid), ce problème sera bientôt corrigé.

Nous vous recommandons de mettre à jour votre paquet gnupg.

Veuillez notez que ce bulletin de sécurité est rendu obsolète par l'annonce DSA 993. C'est pourquoi les paquets mis à jour ne sont plus disponibles depuis cette page.