miércoles, 15 de marzo de 2006

Nueva actualización crítica de GNUPG

Se publica una nueva actualización de seguridad de GNUPG, tras apenas
unas semanas desde la última revisión.

GnuPG es un software "Open Source" (GPL) y gratuito, que permite la
firma y cifrado de documentos mediante criptografía simétrica y
asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good
Privacy), y nació como respuesta a la introducción de las variantes
PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es
una herramienta fundamentalmente UNIX y línea de comando, existen
implementaciones también para plataformas Windows, y frontales
gráficos para un uso más simple.

La versión 1.4.2.2 soluciona una grave vulnerabilidad en la que un
documento firmado correctamente puede "extraerse" e insertar datos
arbitrarios al principio o al final del mismo.

Por ejemplo, se puede añadir texto malicioso a un mensaje de correo
electrónico firmado digitalmente. Dicho texto malicioso estará fuera
del bloque de texto firmado, que no ha sido alterado, con lo que la
firma se verificará como correcta. Pero al extraer el texto del mensaje,
se agregará también el texto malicioso, sin ningún tipo de separación
intermedia con el texto firmado real.

Hispasec recomienda a todos los usuarios de GNUPG que actualicen cuanto
antes a la versión 1.4.2.2. Esto incluye también a los usuarios que
empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como
el caso descrito de los paquetes de software RPM, DEB o similares,
programas de correo electrónicos, etc.

Como siempre, recomendamos verificar la firma digital de la
actualización, especialmente si se descarga de un lugar no oficial. En
caso de no ser posible, las huellas digitales SHA1 de los ficheros son:

f5559ddb004e0638f6bd9efe2bac00134c5065ba gnupg-1.4.2.2.tar.bz2
959540c1c6158e09d668ceee055bf366dc26d0bd gnupg-1.4.2.2.tar.gz
880b3e937f232b1ca366bda37c4a959aacbd84f3 gnupg-1.4.2.1-1.4.2.2.diff.bz2
95dd7fd4c49423b86704acfc396ce5a53c8b19e7 gnupg-w32cli-1.4.2.2.exe


Jesús Cea Avión
jcea@hispasec.com


Más información:

The GNU Privacy Guard - GnuPG
http://www.gnupg.org/

[Announce] GnuPG does not detect injection of unsigned data
http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000216.html

Security Flaw Discovered in GPG
http://it.slashdot.org/article.pl?sid=06/03/09/233227