от hristo(28-12-2000)
---------------------------------------------------------------
Debian Security Advisory DSA-010-1
security@debian.org
http://www.debian.org/security/
Wichert
Akkerman
25 Декември 2000 г.
---------------------------------------------------------------
Пакет :
gnupg
Тип на проблема : мамене с отделени
сигнатури,
подвеждане на доверителната система
Специфичен за Debian: не
Наскоро бяха открити две грешки в GnuPG:
1. Лъжливи положителни резултати при проверка на отделени
сигнатури
--
----------------------------------------------------------------
Съществува проблем в начина, по който gpg проверява
отделените сигнатури, което може да
доведе до лъжливи положителни резултати. Отделените
сигнатури може да се проверяват с
подобна на следната команда:
gpg --verify detached.sig <
mydata
Ако някой подмени detached.sig с подписан текст (т.е. не
отделена сигнатура) и тогава
модифицира mydata, gpg ще продължава да твърди, че
проверката на сигнатурата е дала
положителен резултат.
За да се оправи това начинът по който работи опцията
--verify е променен: сега са й
необходими два аргумента, когато се проверяват отделени
сигнатури: файлът с отделената
сигнатура и файлът с данните, които трябва да се проверят за
автентичност. Забележете, че
това прави gpg несъвместим със старите версии!
2. Тайните ключове се импортират тихомълком
-- ----------------------------------------
Florian Weimer откри, че gpg импортира тайни ключове от
съвърите за ключове. И доколкото
gpg вярва безрезервно на публични ключове, съответстващи на
известни тайни ключове, е
възможно злонамерено лице да подведе доверителната
система.
За да се оправи това е добавена нова опция, която да
разрешава на gpg да импортира секретни
ключове: --allow-key-import.
И двете поправки са във версия 1.0.4-1.1 и ние Ви
препоръчваме незабавно да си замениете
пакетът gnupg с новата версия.
wget url
ще ви изтегли файла
dpkg -i file.deb
ще инсталира пакетът, съдържащ
се във файла
Debian GNU/Linux 2.2 синоним potato
-----------------------------------
Potato е пуснат за alpha, arm, i386, m68k, powerpc и
sparc.
Архиви с изходен код:
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
MD5 сума:
3e6a792f3bbb566650ea37a286feedf4
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
MD5 сума:
866059ad036f47c59bad9e5c3a0f0749
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
MD5 сума:
bef2267bfe9b74a00906a78db34437f9
Архитектура Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
MD5 сума:
616e391a4eb5561bf32714e40bed38c5
Архитектура ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
MD5 сума:
e496f7aed98098feef2869be81b774b7
Архитектура Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
MD5 сума:
a6c0494c737250b0ccc7dc33056d8e7c
Архитектура Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
MD5 сума:
a07cbf5bce2890fe85cfae4d796c5b0d
Архитектура PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
MD5 сума:
e251364c24066cc88a3de11b4ba23275
Архитектура Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb
MD5 сума:
b15f4ad07949fb0fa24a221b656691ae
Скоро тези файлове ще се преместят в
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/.
За други архитектури, моля отнесете се към подходящата
директория
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/
.
---------------------------------------------------------------
apt-get: deb http://security.debian.org/
stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security
dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
<< MySQL + Транзакции = MaxSQL | Komodo Beta 1.0 >>
|
