Säkerhetsbulletin från Debian

DSA-1266-1 gnupg -- flera sårbarheter

Rapporterat den:
2007-03-13
Berörda paket:
gnupg
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 413922, Fel 414170.
I Mitres CVE-förteckning: CVE-2007-1263.
Ytterligare information:

Gerardo Richarte upptäckte att GnuPG, en fri PGP-ersättare, inte tillhandahåller tillräcklig återkoppling till användaren om ett OpenPGP-meddelande innehåller både en osignerad och en signerad del. Att sätta in textsegment i ett i övrigt osignerat meddelande kunde utnyttjas till att förfalska innehåll i signerade meddelanden. Denna uppdatering förhindrar sådana attacker; det gamla beteendet kan fortfarande aktiveras genom att använda flaggan --allow-multiple-messages.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 1.4.1-1.sarge7.

För den kommande stabila utgåvan (Etch) har dessa problem rättats i version 1.4.6-2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.6-2.

Vi rekommenderar att ni uppgraderar era gnupg-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7.dsc
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7.diff.gz
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_arm.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge7_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.