03-14-2006, 10:53 PM
Se ha reportado una vulnerabilidad en GnuPG que podría ser explotada por un atacante para saltear ciertos controles en la validación de un mensaje firmado.
Versiones Afectadas
Las siguientes versiones se ven afectadas por esta vulnerabilidad:
GnuPG/ gpg 1.0.x
GnuPG/ gpg 1.2.x
GnuPG/ gpg 1.3.x
GnuPG/ gpg 1.4.x, versiones previas a la 1.4.2.2
Detalle
La vulnerabilidad se debe a un error en la validación de la firma de un mensaje. La verificación de la firma puede dar un resultado positivo pero cuando se extraen los datos firmados, a estos datos se les pueden añadir datos adicionales no cubiertos por la firma. De esta manera es posible que un atacante tome cualquier mensaje firmado e inyecte datos arbitrarios adicionales.
Las firmas en archivo separado (detached) no son afectadas por esta vulnerabilidad.
Impacto
El impacto de esta vulnerabilidad es MEDIO
Recomendaciones
Es recomendado actualizar el GnuPG a la version 1.4.2.2 o versiones posteriores: http://www.gnupg.org/download/
Referencias
Alerta original
Secunia
Saludos!!..
Versiones Afectadas
Las siguientes versiones se ven afectadas por esta vulnerabilidad:
GnuPG/ gpg 1.0.x
GnuPG/ gpg 1.2.x
GnuPG/ gpg 1.3.x
GnuPG/ gpg 1.4.x, versiones previas a la 1.4.2.2
Detalle
La vulnerabilidad se debe a un error en la validación de la firma de un mensaje. La verificación de la firma puede dar un resultado positivo pero cuando se extraen los datos firmados, a estos datos se les pueden añadir datos adicionales no cubiertos por la firma. De esta manera es posible que un atacante tome cualquier mensaje firmado e inyecte datos arbitrarios adicionales.
Las firmas en archivo separado (detached) no son afectadas por esta vulnerabilidad.
Impacto
El impacto de esta vulnerabilidad es MEDIO
Recomendaciones
Es recomendado actualizar el GnuPG a la version 1.4.2.2 o versiones posteriores: http://www.gnupg.org/download/
Referencias
Alerta original
Secunia
Saludos!!..