martes, 7 de noviembre de 2000

Verificación incorrecta de firmas en GNUPG

Las versiones de GNUPG previas a la 1.0.4 contienen un error de
programación que puede ocasionar que el programa informe de que las
firmas son correctas cuando algunas de ellas son, en realidad,
inválidas. Este problema sólo afecta a ficheros con múltiples firmas.
GNUPG (GNU Privacy Guard) es un reemplazo del conocido PGP (Pretty
Good Privacy). Se trata de un programa para cifrar y firmar (y sus
operaciones inversas) documentos, tanto en forma de ficheros como de
correo electrónico.

Las versiones previas a 1.0.4 sólo verifican la primera firma de un
archivo, por lo que si alguna otra firma falla, el archivo se
considerará válido de todas formas.

Se recomienda que todos los usuarios actualicen a GNUPG 1.0.4 o
superior, cuanto antes.



Jesús Cea Avión
jcea@hispasec.com


Más información:

The GNU Privacy Guard
http://www.gnupg.org/