1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200602-10 / gnupg |
| Date de Parution | 18 Février |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| app-crypt/gnupg | < 1.4.2.1 | >= 1.4.2.1 | Toutes |
3. Synopsis
Les applications se basant sur GnuPG pour authentifier des signatures digitales peuvent être induites en erreur et considérer comme vérifiées certaines signatures ne l'étant pas.
4. Informations
GnuPG (The GNU Privacy Guard) est un remplacement libre de PGP (Pretty Good Privacy). GnuPG n'utilisant aucun algorithmes brevetés, il est possible de l'utiliser sans restrictions. gpgv est l'outil de vérification de signatures OpenGPG fourni par GnuPG.
5. Description
Tavis Ormandy de l'équipe d'audit sécurité Gentoo Linux a découvert que certains systèmes automatisés de vérification de signatures se basant sur le code de retour de GnuPG ou gpgv pour authentifier une signature digitale peuvent être trompés. En effet, la documentation de GnuPG indique que le code de retour 0 indique le succès de la validation, alors que ce code d'erreur est aussi renvoyé par GnuPG lorsque ce dernier ne trouve aucune signature GPG dans le fichier de signature fourni.
6. Impact de la faille
Il est possible pour un utilisateur mal intentionné de contourner l'authentification des systèmes de vérification de signatures automatisés se basant sur les codes de retour de gpg et gpgv.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs de GnuPG doivent installer sa dernière version.
# emerge --sync # emerge --ask --oneshot --verbose ">=app-crypt/gnupg-1.4.2.1"
9. Références