- Otras noticias
.jpg)
Aumentan los gusanos que se aprovechan de MSN Messenger
¡Peligro! Aparece el gusano Zafi.B.jpg)
Opera 8.51 soluciona 2 vulnerabilidades críticas
La actualización de productos Mozilla corrige hasta diez vulnerabilidades
Los expertos dicen que VoIP necesita una seria revisión de seguridad.jpg)
Parche crítico para ColdFusion MX de Macromedia.jpg)
Escalada de privilegios en kernel 2.4 de Linux.jpg)
Denegación de servicio en Apache 2
Canarias es la Comunidad española que más cuida la Seguridad informática
Desbordamientos de búfer en Exim 4.x
- En el foro
-
VULNERABILIDADES
Nueva actualización crítica de GNUPG
17 Mar 2006 | HISPASEC.COM.jpg)
GnuPG es un software "Open Source" (GPL) y gratuito, que permite la firma y cifrado de documentos mediante criptografía simétrica y asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good Privacy), y nació como respuesta a la introducción de las variantes PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es una herramienta fundamentalmente UNIX y línea de comando, existen implementaciones también para plataformas Windows, y frontales gráficos para un uso más simple.
La versión 1.4.2.2 soluciona una grave vulnerabilidad en la que un
documento firmado correctamente puede "extraerse" e insertar datos arbitrarios al principio o al final del mismo.
Por ejemplo, se puede añadir texto malicioso a un mensaje de correo electrónico firmado digitalmente. Dicho texto malicioso estará fuera del bloque de texto firmado, que no ha sido alterado, con lo que la firma se verificará como correcta. Pero al extraer el texto del mensaje, se agregará también el texto malicioso, sin ningún tipo de separación intermedia con el texto firmado real.
Se recomienda a todos los usuarios de GNUPG que actualicen cuanto antes a la versión 1.4.2.2. Esto incluye también a los usuarios que empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como el caso descrito de los paquetes de software RPM, DEB o similares, programas de correo electrónicos, etc.
Como siempre, se recomienda verificar la firma digital de la
actualización, especialmente si se descarga de un lugar no oficial. En caso de no ser posible, las huellas digitales SHA1 de los ficheros son:
f5559ddb004e0638f6bd9efe2bac00134c5065ba gnupg-1.4.2.2.tar.bz2
959540c1c6158e09d668ceee055bf366dc26d0bd gnupg-1.4.2.2.tar.gz
880b3e937f232b1ca366bda37c4a959aacbd84f3 gnupg-1.4.2.1-1.4.2.2.diff.bz2 95dd7fd4c49423b86704acfc396ce5a53c8b19e7 gnupg-w32cli-1.4.2.2.exe
Más Información:
The GNU Privacy Guard - GnuPG
http://www.gnupg.org/
[Announce] GnuPG does not detect injection of unsigned data
http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000216.html
Security Flaw Discovered in GPG
http://it.slashdot.org/article.pl?sid=06/03/09/233227 - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
