Verificación incorrecta de firmas en GNUPG

Las versiones de GNUPG previas a la 1.0.4 contienen un error de
programación que puede ocasionar que el programa informe de que las
firmas son correctas cuando algunas de ellas son, en realidad,
inválidas. Este problema sólo afecta a ficheros con múltiples firmas.
GNUPG (GNU Privacy Guard) es un reemplazo del conocido PGP (Pretty
Good Privacy). Se trata de un programa para cifrar y firmar (y sus
operaciones inversas) documentos, tanto en forma de ficheros como de
correo electrónico.

Las versiones previas a 1.0.4 sólo verifican la primera firma de un
archivo, por lo que si alguna otra firma falla, el archivo se
considerará válido de todas formas.

Se recomienda que todos los usuarios actualicen a GNUPG 1.0.4 o
superior, cuanto antes.

Más información:

The GNU Privacy Guard
http://www.gnupg.org/

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog