Las versiones no actualizadas de GnuPG contienen una vulnerabilidad que
permite que se den por buenas alteraciones en archivos y documentos
firmados digitalmente.
GnuPG es un software «Open Source» (GPL) y gratuito, que permite la
firma y cifrado de documentos mediante criptografía simétrica y
asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good
Privacy), y nació como respuesta a la introducción de las variantes
PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es
una herramienta fundamentalmente UNIX y línea de comando, existen
implementaciones también para plataformas Windows, y frontales
gráficos para un uso más simple.
Las versiones no actualizadas de GnuPG contienen una grave
vulnerabilidad que afecta a la verificación de las firmas digitales de
archivos y documentos. El problema radica en que si bien GnuPG detecta
adecuadamente cuando una firma es incorrecta, por modificación de los
datos originales asociados, y muestra esa información en pantalla, el
código de retorno que proporciona el programa al terminar su ejecución
es «cero», que significa que la firma es correcta.
Por lo tanto, aunque una persona examinando la pantalla es notificada de
que la firma es incorrecta, un programa automatizado recibirá un código
«cero», indicando una firma correcta.
Por ello, la vulnerabilidad es especialmente grave en entornos
automatizados y en herramientas que ocultan las operaciones
criptográficas internas al usuario. Por ejemplo, en entornos UNIX,
la verificación de paquetes de software como RPM o DEB.
Hispasec recomienda a todos los usuarios de GnuPG que actualicen con la
mayor urgencia posible a la versión 1.4.2.1, recién publicada. Esto
incluye también a los usuarios que empleen GnuPG de forma indirecta,
normalmente sin su conocimiento, como el caso descrito de los paquetes
de software RPM, DEB o similares, programas de correo electrónicos, etc.
Como siempre, recomendamos verificar la firma digital de la
actualización, especialmente si se descarga de un lugar no oficial. En
caso de no ser posible, las huellas digitales SHA1 de los ficheros son:
1c0306ade25154743d6f6f9ac05bee74c55c6eda gnupg-1.4.2.1.tar.bz2
cefc74560f21bde74eed298d86460612cd7e12ee gnupg-1.4.2.1.tar.gz
98d597b1a9871b4aadc820d8641b36ce09125612 gnupg-1.4.2-1.4.2.1.diff.bz2
a4db35a72d72df8e76751adc6f013b4c96112fd4 gnupg-w32cli-1.4.2.1.exe
jcea@hispasec.com
Más información:
The GNU Privacy Guard – GnuPG
http://www.gnupg.org/
[Announce] False positive signature verification in GnuPG
http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000211.html
Deja una respuesta