- Otras noticias
El nuevo Service Pack 3 de Ofice XP puede causar algunos problemas
Desbordamiento de búfer en CiscoWorks Common Services
RIM advierte de una vulnerabilidad de seguridad de la BlackBerry
Actualizaciones de seguridad para Adobe Reader y Acrobat 
¿Piensas reciclar tu ordenador? Lee antes esto
Los ordenadores son atacados 50 veces por noche
Filtrada información sobre 4,52 millones de abonados de Softbank
El investigador forense COFEE 
El virus Sasser provocó "trastornos" a todas las Consejerías de Madrid, aunque no afectó al funcionamiento general
La nueva variante D del gusano Sasser agrava la epidemia que está asolando Internet
- En el foro
-
VULNERABILIDADES
Nueva actualización crítica de GNUPG
17 Mar 2006 | HISPASEC.COM.jpg)
GnuPG es un software "Open Source" (GPL) y gratuito, que permite la firma y cifrado de documentos mediante criptografía simétrica y asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good Privacy), y nació como respuesta a la introducción de las variantes PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es una herramienta fundamentalmente UNIX y línea de comando, existen implementaciones también para plataformas Windows, y frontales gráficos para un uso más simple.
La versión 1.4.2.2 soluciona una grave vulnerabilidad en la que un
documento firmado correctamente puede "extraerse" e insertar datos arbitrarios al principio o al final del mismo.
Por ejemplo, se puede añadir texto malicioso a un mensaje de correo electrónico firmado digitalmente. Dicho texto malicioso estará fuera del bloque de texto firmado, que no ha sido alterado, con lo que la firma se verificará como correcta. Pero al extraer el texto del mensaje, se agregará también el texto malicioso, sin ningún tipo de separación intermedia con el texto firmado real.
Se recomienda a todos los usuarios de GNUPG que actualicen cuanto antes a la versión 1.4.2.2. Esto incluye también a los usuarios que empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como el caso descrito de los paquetes de software RPM, DEB o similares, programas de correo electrónicos, etc.
Como siempre, se recomienda verificar la firma digital de la
actualización, especialmente si se descarga de un lugar no oficial. En caso de no ser posible, las huellas digitales SHA1 de los ficheros son:
f5559ddb004e0638f6bd9efe2bac00134c5065ba gnupg-1.4.2.2.tar.bz2
959540c1c6158e09d668ceee055bf366dc26d0bd gnupg-1.4.2.2.tar.gz
880b3e937f232b1ca366bda37c4a959aacbd84f3 gnupg-1.4.2.1-1.4.2.2.diff.bz2 95dd7fd4c49423b86704acfc396ce5a53c8b19e7 gnupg-w32cli-1.4.2.2.exe
Más Información:
The GNU Privacy Guard - GnuPG
http://www.gnupg.org/
[Announce] GnuPG does not detect injection of unsigned data
http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000216.html
Security Flaw Discovered in GPG
http://it.slashdot.org/article.pl?sid=06/03/09/233227 - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
