Risque
- Contournement de la politique de sécurité
Systèmes affectés
GnuPG versions 1.4.6 et antérieures.
Résumé
Une vulnérabilité dans GnuPG permet à un utilisateur malintentionné de contourner la politique de sécurité du logiciel.
Description
Lors de l'affichage de messages contenant plusieurs parties, le logiciel GnuPG ne permet pas de distinguer les parties signées de celles qui ne le sont pas. Il est donc possible pour un utilisateur mal intentionné d'insérer dans un message partiellement signé du contenu non-vérifiable.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SecurityFocus du 05 mars 2007 http://www.securityfocus.com/bid/22757
- Bulletin de sécurité Debian DSA-1266 du 13 mars 2007 : http://www.debian.com/security/2007/dsa-1266
- Bulletin de sécurité Fedora 5 Fedora-2007-316 du 12 mars 2007 : http://fedoranews.org/cms/node/2775
- Bulletin de sécurité Fedora 6 Fedora-2007-315 du 12 mars 2007 : http://fedoranews.org/cms/node/2774
- Bulletin de sécurité Mandriva MDKSA-2007:059 du 08 mars 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:059
- Bulletin de sécurité Red Hat RHSA-2007:0106-2 du 06 mars 2007 : http://rhn.redhat.com/errata/RHSA-2007-0106.html
- Bulletin de sécurité Ubuntu USN-432-1 du 08 mars 2007 : http://www.ubuntulinux.org/usn/usn-432-1
- Bulletin de sécurité Ubuntu USN-432-2 du 13 mars 2007 : http://www.ubuntulinux.org/usn/usn-432-2
- Référence CVE CVE-2007-1263 https://www.cve.org/CVERecord?id=CVE-2007-1263