Objet: Vulnérabilité de GnuPG

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Toutes les versions GnuPG antérieures à la version 1.4.2.1.

Description

GnuPG (GNU Privacy Guard) est un logiciel libre remplaçant de PGP (Pretty Good Privacy).
Une vulnérabilité dans GnuPG permet à un utilisateur mal intentionné de contourner la vérification de signature en utilisant une erreur de programmation de type faux positif. Cette erreur concerne l'outil gpgv et la commande gpg -verify.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Site Internet de GnuPG :

  http://www.gnupg.org
  

• Bulletin de sécurité Debian DSA 978 du 17 février 2006 :

  http://www.debian.org/security/2006/dsa-978
  

• Bulletin de sécurité Gentoo GLSA-200602-10 du 18 février 2006 :

  http://www.gentoo.org/security/en/glsa/glsa-200602-10.xml
  

• Bulletin de sécurité Mandriva MDKSA-2006:043 du 17 février 2006 :

  http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:043
  

• Bulletin de sécurité Ubuntu USN-252-1 du 17 février 2006 :

  http://www.ubuntulinux.org/usn/usn-252-1
  

• Bulletin de sécurité du port FreeBSD de GnuPG du 17 février 2006 :

  http://www.vuxml.org/freebsd/pkg-gnupg.html
  

• Bulletin de sécurité SUSE SUSE-SA:2006:009 du 20 février 2006 :

  http://www.novell.com/linux/security/advisories/2006_09_gpg.html
  

• Bulletin de sécurité SUSE SUSE-SA:2006:013 du 02 mars 2006 :

  http://www.novell.com/linux/security/advisories/2006_13_gpg.html
  

• Référence CVE CVE-2006-0455 :

  https://www.cve.org/CVERecord?id=CVE-2006-0455