- Otras noticias
.jpg)
El numero de nuevos virus crece mientras que el tiempo medio de infección disminuye considerablemente
Revelación de información en Mozilla Firefox
Gusano invisible a filtros y antivirus perimetrales
Denegación de servicio en OpenSSL por análisis de ASN.1
Cross-Site Request Forgery en IBM WebSphere Application Server.jpg)
Detectada una nueva avalancha de correos fraudulentos sobre banca en internet
Un promedio de 28 programas espías en cada ordenador que accede a Internet
Actualización del kernel para SuSE Linux Enterprise 11 
Vulnerabilidad en Internet Explorer permite el acceso a archivos locales
Denegación de servicio en kadmind de MIT Kerberos
- En el foro
-
VULNERABILIDADES
Actualización crítica de GnuPG
23 Feb 2006 | HISPASEC.COM
GnuPG es un software "Open Source" (GPL) y gratuito, que permite la firma y cifrado de documentos mediante criptografía simétrica y asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good Privacy), y nació como respuesta a la introducción de las variantes PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es una herramienta fundamentalmente UNIX y línea de comando, existen implementaciones también para plataformas Windows, y frontales gráficos para un uso más simple.
Las versiones no actualizadas de GnuPG contienen una grave
vulnerabilidad que afecta a la verificación de las firmas digitales de archivos y documentos. El problema radica en que si bien GnuPG detecta adecuadamente cuando una firma es incorrecta, por modificación de los datos originales asociados, y muestra esa información en pantalla, el código de retorno que proporciona el programa al terminar su ejecución es "cero", que significa que la firma es correcta.
Por lo tanto, aunque una persona examinando la pantalla es notificada de que la firma es incorrecta, un programa automatizado recibirá un código "cero", indicando una firma correcta.
Por ello, la vulnerabilidad es especialmente grave en entornos
automatizados y en herramientas que ocultan las operaciones
criptográficas internas al usuario. Por ejemplo, en entornos UNIX, la verificación de paquetes de software como RPM o DEB.
Hispasec recomienda a todos los usuarios de GnuPG que actualicen con la mayor urgencia posible a la versión 1.4.2.1, recién publicada. Esto incluye también a los usuarios que empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como el caso descrito de los paquetes de software RPM, DEB o similares, programas de correo electrónicos, etc.
Como siempre, recomendamos verificar la firma digital de la
actualización, especialmente si se descarga de un lugar no oficial. En caso de no ser posible, las huellas digitales SHA1 de los ficheros son:
1c0306ade25154743d6f6f9ac05bee74c55c6eda gnupg-1.4.2.1.tar.bz2
cefc74560f21bde74eed298d86460612cd7e12ee gnupg-1.4.2.1.tar.gz
98d597b1a9871b4aadc820d8641b36ce09125612 gnupg-1.4.2-1.4.2.1.diff.bz2 a4db35a72d72df8e76751adc6f013b4c96112fd4 gnupg-w32cli-1.4.2.1.exe
Más Información:
The GNU Privacy Guard - GnuPG
http://www.gnupg.org/
[Announce] False positive signature verification in GnuPG
http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000211.html - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
porque callados huh??, porque los "fanaticos del linux" no vienen por aqui huh??, les da pena o que???, semejantes idiotas