Debian-Sicherheitsankündigung

DSA-993-2 gnupg -- Programmierfehler

Datum des Berichts:

10. Mär 2006

Betroffene Pakete:

gnupg

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2006-0049.

Weitere Informationen:

Tavis Ormandy bemerkte, dass gnupg, der GNU Privatsphären-Wächter (privacy guard) – ein freier Ersatz für PGP – dazu verleitet werden könne, ein Statusmeldung good signature (gültige Signatur) auszugeben, wenn eine gültige Signatur vorhanden sei, die nicht zum Datenpaket gehöre. Diese Aktualisierung fügt im Wesentlichen behobene Pakete für Woody hinzu, dessen Version sich ebenfalls als verwundbar herausstellte.

Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 1.0.6-4woody5 behoben.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.4.1-1.sarge3 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.4.2.2-1 behoben.

Wir empfehlen Ihnen, Ihr gnupg-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5.dsc; http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5.diff.gz; http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3.dsc; http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3.diff.gz; http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.