[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[SEGURANÇA] [DSA-010-1] dois problemas no gpg

- ----------------------------------------------------
Informativo de Segurança do Debian DSA-010-1	security@debian.org
http://www.debian.org/security/ 					Wichert Akkerman
Dezembro, 25 de 2000.
- ----------------------------------------------------



Pacote ..............................: gnupg
Tipo de Problema.........: trapaça com assinaturas separadas, forjamento de veracidade da web 
Específico do Debian..: não

Dois erros foram descobertos recentemente no GnuPG:

1. Confirmacões falsas na verificação de assinaturas separadas
- -----------------------------------------
Há um problema na maneira em que o gpg checa assinaturas separadas o que pode levar à confirmações falsas. Uma assinatura separada pode ser verificada com um comando como este: 

gpg --verify assinatura_separada.sig < meus_dados
Se alguém substituísse assinatura_separada.sig por um texto assinado (por exemplo alguma coisa que não um assinatura separada) e então modificasse meus_dados mesmo assim o gpg 
retornaria sucesso na verificação da assinatura.
Para corrigir o modo como a opção --verify funciona houve mudanças: agora são necessárias duas opções quando se verifica assinaturas separadas: ambos o arquivo com a assinatura separada , e o arquivo com os dados a serem verificados. Note que isso o torna incompatível com versões 
anteriores!

2. chaves secretas são silenciosamente importadas
- -----------------------------------------
Florian Weimer descobriu que o gpg importaria chaves secretas de servidores de chaves. Como o gpg considera chaves públicas correspondentes à chaves secretas conhecidas como sendo totalmente verdadeiras um atacante pode usar isso para forjar veracidade 
da web.
Para corrigir isso uma nova opção foi adicionada informando ao gpg quando ele é 
autorizado a importar chaves secretas: --allow-key-import.

Ambas as correções estão na versão  1.0.4-1.1 e nós recomendamos que você
atualize o pacote gnupg imediatamente.

wget url
baixará o arquivo para você
dpkg -i arquivo.deb
instalará o arquivo mencionado.


Debian GNU/Linux 2.2 codinome potato
- ---------------------

Potato foi liberado para alpha, arm, i386, m68k, powerpc e sparc.

Arquivos dos fontes:
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.diff.gz
MD5 checksum: 3e6a792f3bbb566650ea37a286feedf4
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4-1.1.dsc
MD5 checksum: 866059ad036f47c59bad9e5c3a0f0749
http://security.debian.org/dists/stable/updates/main/source/gnupg_1.0.4.orig.tar.gz
MD5 checksum: bef2267bfe9b74a00906a78db34437f9

Arquitetura Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/gnupg_1.0.4-1.1_alpha.deb
MD5 checksum: 616e391a4eb5561bf32714e40bed38c5

Arquitetura ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/gnupg_1.0.4-1.1_arm.deb
MD5 checksum: e496f7aed98098feef2869be81b774b7

Arquitetura Intel ia32:

http://security.debian.org/dists/stable/updates/main/binary-i386/gnupg_1.0.4-1.1_i386.deb
MD5 checksum: a6c0494c737250b0ccc7dc33056d8e7c

Arquitetura Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/gnupg_1.0.4-1.1_m68k.deb
MD5 checksum: a07cbf5bce2890fe85cfae4d796c5b0d

Arquitetura PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/gnupg_1.0.4-1.1_powerpc.deb
MD5 checksum: e251364c24066cc88a3de11b4ba23275

Arquitetura Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/gnupg_1.0.4-1.1_sparc.deb
MD5 checksum: b15f4ad07949fb0fa24a221b656691ae

Esses arquivos serão movidos para
ftp://ftp.debian.org/debian/dists/stable/*/binary-$arch/ logo.

Para arquiteturas que ainda não foi liberado, favor consultar o
diretório apropriado
ftp://ftp.debian.org/debian/dists/sid/binary-$arch/.
- --
- -------------------------------------------------------------
apt-get deb http://security.debian.org/ stable/updates main
dpkg-ftp: ftp://security.debian.org/debian-security
dists/stable/updates/main
Lista de Mensagens: debian-security-announce@lists.debian.org
- -------------------------------------------------------------

Para SAIR DA LISTA, envie um e-mail para
debian-security-announce-request@lists.debian.org
com "unsubscribe" no assunto. Problemas? Contate listmaster@lists.debian.org
--
Lauro Costa - Joinville/SC
laurocgb@yahoo.com.BR
-+- I love Debian! -+-
Reply to: