Debian安全性建议DSA-010-1

/ns/ld/unix/data/20010303061731.htm

数据包: gnupg
发布日期：2000-12-25
问题类型: 欺骗单独的签名, 欺骗web的信任
只限于Debian: 非
最近发现了两个GnuPG中的漏洞:

1. 验证单独签名时的错误确认

在gpg检查分开签名的方法中有一个问题，它将导致错误的确认. 分开的签名可以用这样的命令来验证:

gpg --verify detached.sig < mydata

如果某人将detached.sig替换为有符号的原文以及修改过的mydata，gpg将仍然成功地验证签名.

要修复 --verify选项的工作方法应该做这样的修改: 现在验证分开签名时需要两个选项:
有分开签名的文件, 以及包含被验证数据的文件. 请注意这与老版本相矛盾!

2. 密钥被秘密输入
- ------------------------------------

Florian Weimer发现gpg将从key-servers引入密钥. 因为gpg认为公共密钥相应于最终被攻击的已知密钥能够被用来
欺骗web的信任.

为了修复这个漏洞，加如了一个新的选项来告诉gpg，它被允许引入密钥: --allow-key-import.


这两个漏洞在1.0.4-1.1版本中已修复，我们建议你立刻更新gnupg数据包.

wget url 将为你取得文件
dpkg -i file.deb 将安装相应文件


Debian GNU/Linux 2.2 别名 potato

Potato 发布了关于alpha, arm, i386, m68k, powerpc及sparc的文档.

源文档:
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
MD5 校验和: 3e6a792f3bbb566650ea37a286feedf4
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
MD5 校验和: 866059ad036f47c59bad9e5c3a0f0749
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
MD5 校验和: bef2267bfe9b74a00906a78db34437f9

Alpha 文档:
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
MD5 校验和: 616e391a4eb5561bf32714e40bed38c5

ARM 文档:
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
MD5 校验和: e496f7aed98098feef2869be81b774b7

Intel ia32文档:
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
MD5 校验和: a6c0494c737250b0ccc7dc33056d8e7c

Motorola 680x0 文档:
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
MD5 校验和: a07cbf5bce2890fe85cfae4d796c5b0d

PowerPC 文档:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
MD5 校验和: e251364c24066cc88a3de11b4ba23275

Sun Sparc 文档:
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb
MD5 校验和: b15f4ad07949fb0fa24a221b656691ae

这些文件很快将转移到 ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/

对于还未发布的文档请参阅这个地址的相应目录 ftp://ftp.debian.org/debian/dists/sid/binary-$arch/