首页 > > 服务器技术 > 安全防护 >

3月14日GnuPG内置签名验证漏洞

2008-04-09 04:14:17来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

信息提供:

安全公告(或线索)提供热线:51cto.editor@gmail.com

漏洞类别:

签名验证漏洞

攻击类型:

本地攻击

发布日期:

2006-03-09

更新日期:

2006-03-14

受影响系统:

GNU Privacy Guard < 1.4.2.2

安全系统:

GNU Privacy Guard 1.4.2.2

漏洞报告人:

Werner Koch (wk@gnupg.org)

Tavis Ormandy (taviso@gentoo.org)

漏洞描述:

BUGTRAQ ID: 17058

CVE(CAN) ID: CVE-2006-0049

GnuPG是基于OpenPGP标准的PGP加密、解密、签名工具。

GnuPG在处理邮件内置的签名时存在验证漏洞,攻击者可能利用此漏洞在邮件中插入额外的数据。

GnuPG在提取已签名的数据时,数据可能前置或后缀了签名没有没有覆盖到的额外数据,这样攻击者就可以利用签名消息注入额外的任意数据。

测试方法:

解决方法:

厂商补丁:

Debian

------

Debian已经为此发布了一个安全公告(DSA-993-2)以及相应补丁:

DSA-993-2:New GnuPG packages fix broken signature check

链接:http://www.debian.org/security/2005/dsa-993

补丁下载:

Source archives:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5.dsc

Size/MD5 checksum: 579 b34d5a5996b358e713e2e8bb71dc6404

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5.diff.gz

Size/MD5 checksum: 7866 5e36a3c06fae2b3d96a9db65988fffbd

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6.orig.tar.gz

Size/MD5 checksum: 1941676 7c319a9e5e70ad9bc3bf0d7b5008a508

Alpha architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_alpha.deb

Size/MD5 checksum: 1150716 ff72280db81dbc60041cd91a0d307ee6

ARM architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_arm.deb

Size/MD5 checksum: 987194 1ca0bbdaaec049b128996cdd9f776834

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_i386.deb

Size/MD5 checksum: 966800 52e985fbb5e9bcd7baa320c549b7b70c

Intel IA-64 architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_ia64.deb

Size/MD5 checksum: 1271958 27317f852e24ce3784ec62aec0860c6a

HP Precision architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_hppa.deb

Size/MD5 checksum: 1059666 5b73bdfab02c7c8184b58db2c3e0b240

Motorola 680x0 architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_m68k.deb

Size/MD5 checksum: 942614 c15e8b65687c52530e48665669dde8c3

Big endian MIPS architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_mips.deb

Size/MD5 checksum: 1035974 ce95aa0adb6060fc68119c4df3492293

Little endian MIPS architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_mipsel.deb

Size/MD5 checksum: 1036400 f40b42f381d7f04004f219c16de542fc

PowerPC architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_powerpc.deb

Size/MD5 checksum: 1009720 8b0372d551b48829ce6be7d0f69f6559

IBM S/390 architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_s390.deb

Size/MD5 checksum: 1002210 deef79ef16b8f5bac2b32f912caac46c

Sun Sparc architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody5_sparc.deb

Size/MD5 checksum: 1003974 2bf876aa4b6a50cb3aadb7ef2e233f69

Debian GNU/Linux 3.1 alias sarge

- --------------------------------

Source archives:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3.dsc

Size/MD5 checksum: 680 8f2f1848dcdfe9d143d8e9352ef918ca

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3.diff.gz

Size/MD5 checksum: 19639 9ffb89fa0a770568ddd80a11e3eada78

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1.orig.tar.gz

Size/MD5 checksum: 4059170 1cc77c6943baaa711222e954bbd785e5

Alpha architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_alpha.deb

Size/MD5 checksum: 2155538 07b4643bf4cd05639a261fa0b3fa6a89

AMD64 architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_amd64.deb

Size/MD5 checksum: 1963222 52cdf1bb1a228427abd31abff411a946

ARM architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_arm.deb

Size/MD5 checksum: 1899232 c52b0d652506e2384340d67f8126a1b2

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.4.1-1.sarge3_i386.deb

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:Linux Kernel XFS文件系统本地信息泄露漏洞

下一篇:3月14日Ipswitch

相关文章

IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设

网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源

网站联盟: 联盟新闻 联盟介绍 联盟点评 网赚技巧

行业资讯: 搜索引擎 网络游戏 电子商务 广告传媒

网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它

服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护

软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷

网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash

程序设计: Java技术 C/C++ VB delphi

网络知识: 网络协议 网络安全 网络管理 组网方案 Cisco技术

操作系统: Win2000 WinXP Win2003 Mac OS Linux FreeBSD

热门词条
最新资讯
热门关注
热门标签