[SEGURANÇA] [DSA-010-1] dois problemas no gpg
- ----------------------------------------------------
Informativo de Segurança do Debian DSA-010-1 security@debian.org
http://www.debian.org/security/ Wichert Akkerman
Dezembro, 25 de 2000.
- ----------------------------------------------------
Pacote ..............................: gnupg
Tipo de Problema.........: trapaça com assinaturas separadas, forjamento
de veracidade da web
Específico do Debian..: não
Dois erros foram descobertos recentemente no GnuPG:
1. Confirmacões falsas na verificação de assinaturas separadas
- -----------------------------------------
Há um problema na maneira em que o gpg checa assinaturas separadas o que
pode levar à
confirmações falsas. Uma assinatura separada pode ser verificada com um
comando como este:
gpg --verify assinatura_separada.sig < meus_dados
Se alguém substituísse assinatura_separada.sig por um texto assinado
(por exemplo alguma
coisa que não um assinatura separada) e então modificasse meus_dados
mesmo assim o gpg
retornaria sucesso na verificação da assinatura.
Para corrigir o modo como a opção --verify funciona houve mudanças:
agora são necessárias
duas opções quando se verifica assinaturas separadas: ambos o arquivo
com a assinatura separada
, e o arquivo com os dados a serem verificados. Note que isso o torna
incompatível com versões
anteriores!
2. chaves secretas são silenciosamente importadas
- -----------------------------------------
Florian Weimer descobriu que o gpg importaria chaves secretas de
servidores de chaves.
Como o gpg considera chaves públicas correspondentes à chaves secretas
conhecidas
como sendo totalmente verdadeiras um atacante pode usar isso para forjar
veracidade
da web.
Para corrigir isso uma nova opção foi adicionada informando ao gpg
quando ele é
autorizado a importar chaves secretas: --allow-key-import.
Ambas as correções estão na versão 1.0.4-1.1 e nós recomendamos que você
atualize o pacote gnupg imediatamente.
wget url
baixará o arquivo para você
dpkg -i arquivo.deb
instalará o arquivo mencionado.
Debian GNU/Linux 2.2 codinome potato
- ---------------------
Potato foi liberado para alpha, arm, i386, m68k, powerpc e sparc.
Arquivos dos fontes:
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
MD5 checksum: 3e6a792f3bbb566650ea37a286feedf4
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
MD5 checksum: 866059ad036f47c59bad9e5c3a0f0749
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
MD5 checksum: bef2267bfe9b74a00906a78db34437f9
Arquitetura Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
MD5 checksum: 616e391a4eb5561bf32714e40bed38c5
Arquitetura ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
MD5 checksum: e496f7aed98098feef2869be81b774b7
Arquitetura Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
MD5 checksum: a6c0494c737250b0ccc7dc33056d8e7c
Arquitetura Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
MD5 checksum: a07cbf5bce2890fe85cfae4d796c5b0d
Arquitetura PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
MD5 checksum: e251364c24066cc88a3de11b4ba23275
Arquitetura Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb
MD5 checksum: b15f4ad07949fb0fa24a221b656691ae
Esses arquivos serão movidos para
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ logo.
Para arquiteturas que ainda não foi liberado, favor consultar o
diretório apropriado
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/.
- --
- -------------------------------------------------------------
apt-get deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security
dists/stable/updates/main
Lista de Mensagens: debian-security-announce@lists.debian.org
- -------------------------------------------------------------
Para SAIR DA LISTA, envie um e-mail para
debian-security-announce-request@lists.debian.org
com "unsubscribe" no assunto. Problemas? Contate listmaster@lists.debian.org
--
Lauro Costa - Joinville/SC
laurocgb@yahoo.com.BR
-+- I love Debian! -+-
Reply to: