Risque
- Atteinte à l'intégrité des données
Systèmes affectés
GnuPG versions 1.4.2.1 et antérieures.
Résumé
Une vulnérabilité dans GnuPG permet à un utilisateur de porter atteinte à l'intégrité des données.
Description
GnuPG présente une erreur dans la mise en œuvre du contrôle de la validité d'une signature accompagnant un document. Elle permet à un utilisateur d'insérer des données arbitraires dans un document signé (typiquement du texte supplémentaire dans un message) sans que GnuPG détecte une erreur d'intégrité.
Solution
La version 1.4.2.2 de GnuPG corrige le problème :
http://www.gnupg.org/download/
Documentation
- Bulletin de sécurité GnuPG du 9 mars 2006 http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000216.hmtl
- Bulletin de sécurité Debian DSA 993 du 10 mars 2006 : http://www.debian.org/security/2006/dsa-993
- Bulletin de sécurité FreeBSD pour GnuPG du 10 mars 2006 : http://www.vuxml.org/freebsd/pkg-gnupg.html
- Bulletin de sécurité Gentoo GLSA 200603-08 du 10 mars 2006 : http://www.gentoo.org/security/en/glsa/glsa-200603-08.xml
- Bulletin de sécurité Mandriva MDKSA-2006:055 du 13 mars 2006 : http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:055
- Bulletin de sécurité RedHat RHSA-2006:0266 du 15 mars 2006 : https://rhn.redhat.com/errata/RHSA-2006-0266.html
- Bulletin de sécurité Ubuntu USN-264-1 du 13 mars 2006 : http://www.ubuntulinux.org/usn/usn-264-1
- Site de GnuPG : http://www.gnupg.org
- Référence CVE CVE-2006-0049 https://www.cve.org/CVERecord?id=CVE-2006-0049