Risque
- Contournement de la politique de sécurité
Systèmes affectés
Toutes les versions GnuPG antérieures à la version 1.4.2.1.
Description
GnuPG (GNU Privacy Guard) est un logiciel libre remplaçant de PGP
(Pretty Good Privacy).
Une vulnérabilité dans GnuPG permet à un utilisateur mal intentionné de
contourner la vérification de signature en utilisant une erreur de
programmation de type faux positif. Cette erreur concerne l'outil gpgv
et la commande gpg -verify.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA 978 du 17 février 2006 : http://www.debian.org/security/2006/dsa-978
- Bulletin de sécurité Gentoo GLSA-200602-10 du 18 février 2006 : http://www.gentoo.org/security/en/glsa/glsa-200602-10.xml
- Bulletin de sécurité Mandriva MDKSA-2006:043 du 17 février 2006 : http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:043
- Bulletin de sécurité SUSE SUSE-SA:2006:009 du 20 février 2006 : http://www.novell.com/linux/security/advisories/2006_09_gpg.html
- Bulletin de sécurité SUSE SUSE-SA:2006:013 du 02 mars 2006 : http://www.novell.com/linux/security/advisories/2006_13_gpg.html
- Bulletin de sécurité Ubuntu USN-252-1 du 17 février 2006 : http://www.ubuntulinux.org/usn/usn-252-1
- Bulletin de sécurité du port FreeBSD de GnuPG du 17 février 2006 : http://www.vuxml.org/freebsd/pkg-gnupg.html
- Site Internet de GnuPG : http://www.gnupg.org
- Référence CVE CVE-2006-0455 https://www.cve.org/CVERecord?id=CVE-2006-0455