1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-08 / gnupg |
| Date de Parution | 10 Mars |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| app-crypt/gnupg | < 1.4.2.2 | >= 1.4.2.2 | Toutes |
3. Synopsis
Il est possible que GnuPG reporte comme vérifiées et valides certains messages ayant été altérés ou n'étant pas correctement signés
4. Informations
GnuPG (The GNU Privacy Guard) est un remplacement libre de PGP (Pretty Good Privacy). GnuPG n'utilisant aucun algorithmes brevetés, il est possible de l'utiliser sans restrictions. gpgv est l'outil de vérification de signatures OpenGPG fourni par GnuPG.
5. Description
Tavis Ormandy de l'équipe d'audit sécurité Gentoo Linux a découvert qu'il est possible d'altérer des données signées sans aucune détection par GnuPG.
6. Impact de la faille
En générant une signature dans format spécifique, il est possible de faire croire a GnuPG que les données signées n'ont pas été altérées, même lorsque c'est le cas.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs de GnuPG doivent installer sa dernière version.
# emerge --sync # emerge --ask --oneshot --verbose ">=app-crypt/gnupg-1.4.2.2"
9. Références