Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

Soporte de vulnerabilidades

Servicio de soporte de vulnerabilidadesAnálisis, notificación y seguimiento de aquellas vulnerabilidades más críticas, que impactan especialmente en las tecnologías empleadas en el sector público. El CCN-CERT trabajará en la recopilación y clasificación de las nuevas vulnerabilidades, realizando un análisis teórico y en laboratorio, cuando sea posible, de aquellas que por su criticidad lo requieran.

Se generarán documentos informativos o “abstracts” de dichas vulnerabilidades y se llevará a cabo un seguimiento de la evolución de la vulnerabilidad en Internet, alertando a los organismos ante cambios en la criticidad, aparición de parches, nuevas recomendaciones, constancia de explotaciones activas, etc.

Para inscribirse en este servicio o recibir más información, escribir al correo electrónico: soporte_acreditacion@ccn.cni.es

Abstracts:


Boletines de Vulnerabilidades


Vulnerabilidad en "GnuPG" en las versiones entre 1.0.2 y 1.2.3

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Confidencialidad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado GnuPG 1.0.2 - 1.2.3

Descripción

Se ha descubierto una vulnerabilidad en la forma en como "GnuPG" (en todas las versiones comprendidas entra 1.0.2 y 1.2.3) crea y usa las claves. Es posible engañar a "GnuPG" en la autenticidad de un documento, cuando este ha sido firmado con una clave de este tipo.

Nota: Existen vulnerabilidades anteriores en "GnuPG". Por lo cual se recomienda que los usuarios de "GnuPG" instalen la últma versión estable del producto (versión 1.2.3) y aplicar el parche mencionado aquí.


"GnuPG" (GNU Privacy Guard) es una implemtación de código abierto con funcionalidades de aplicación de firma digital, y cifrado de datos. Es compatible con el RFC 2440 ("OpenPGP"). La primera versión de "GnuPG" (1.0.0) fue lanzada en septiembre de 1999

"GnuPG" permite usar claves ELGamal para firmar y cifrar datos. Esta posibilidad es autorizada por la norma "OpenPGP", pero no es recomendada
por motivos de seguridad


Información Técnica
1. Todas la claves ElGamal usadas para firmar y cifrar (tipo 20), generadas con GnuPG versión 1.0.2 o posterior pueden considerarse comprometidas. Por otra parte las claves ElGamal tipo 16 no son afectadas

2.-Tambien se ha descubierto una vulnerabilidad en las funciones de validación de claves con GnuPG versión 1.2.1 y anteriores sobre Linux (CAN-2003-0255)

Solución

Este parche ha sido publicado por GnuPG para la versión 1.2.3 , para inhabilitar la posibilidad de crear firmas usando ElGamal (tipo 20) y también para remover la opción de crear este tipo claves. El parche será incluido en la versión siguiente de GnuPG.


1 - Aplicar el parche "GnuPG"
Parche para GnuPG 1.2.3
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000277.html

Linux Mandrake

Mandrake 9.0
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/9.0/RPMS/gnupg-1.0.7-3.2.90mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/9.0/SRPMS/gnupg-1.0.7-3.2.90mdk.src.rpm

Mandrake 9.1
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/9.1/RPMS/gnupg-1.2.2-1.2.91mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/9.1/SRPMS/gnupg-1.2.2-1.2.91mdk.src.rpm
PPC
ftp://ftp.rediris.es/mirror/mandrake/updates/ppc/9.1/RPMS/gnupg-1.2.2-1.2.91mdk.ppc.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/ppc/9.1/SRPMS/gnupg-1.2.2-1.2.91mdk.src.rpm

Mandrake 9.2
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/RPMS/gnupg-1.2.3-3.1.92mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/9.2/SRPMS/gnupg-1.2.3-3.1.92mdk.src.rpm
AMD64
ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/RPMS/gnupg-1.2.3-3.1.92mdk.amd64.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/amd64/9.2/SRPMS/gnupg-1.2.3-3.1.92mdk.src.rpm

Mandrake Multi Network Firewall 8.2
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/mnf8.2/RPMS/gnupg-1.0.7-3.2.M82mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/mnf8.2/SRPMS/gnupg-1.0.7-3.2.M82mdk.src.rpm

Mandrake Corporate Server 2.1
i386
ftp://ftp.rediris.es/mirror/mandrake/updates/corporate/2.1/RPMS/gnupg-1.0.7-3.2.C21mdk.i586.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/corporate/2.1/SRPMS/gnupg-1.0.7-3.2.C21mdk.src.rpm
x86_64
ftp://ftp.rediris.es/mirror/mandrake/updates/x86_64/corporate/2.1/RPMS/gnupg-1.0.7-3.2.C21mdk.x86_64.rpm
ftp://ftp.rediris.es/mirror/mandrake/updates/x86_64/corporate/2.1/SRPMS/gnupg-1.0.7-3.2.C21mdk.src.rpm

Linux SuSe

SuSe 8.2
i386
ftp://ftp.suse.com/pub/suse/i386/update/8.2/rpm/i586/gpg-1.2.2rc1-98.i586.rpm
ftp://ftp.suse.com/pub/suse/i386/update/8.2/rpm/i586/gpg-1.2.2rc1-98.i586.patch.rpm
ftp://ftp.suse.com/pub/suse/i386/update/8.2/rpm/src/gpg-1.2.2rc1-98.src.rpm

SuSe 9.0
i386
ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/i586/gpg-1.2.2-121.i586.rpm
ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/i586/gpg-1.2.2-121.i586.patch.rpm
ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/src/gpg-1.2.2-121.src.rpm
x86_64
ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/x86_64/gpg-1.2.2-117.x86_64.rpm
ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/x86_64/gpg-1.2.2-117.x86_64.patch.rpm
ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/src/gpg-1.2.2-117.src.rpm

Linux RedHat

RedHat 7.1
SRPMS
ftp://updates.redhat.com/7.1/en/os/SRPMS/gnupg-1.0.7-12.src.rpm
i386
ftp://updates.redhat.com/7.1/en/os/i386/gnupg-1.0.7-12.i386.rpm

RedHat 7.2
SRPMS
ftp://updates.redhat.com/7.2/en/os/SRPMS/gnupg-1.0.7-13.src.rpm
i386
ftp://updates.redhat.com/7.2/en/os/i386/gnupg-1.0.7-13.i386.rpm
ia64
ftp://updates.redhat.com/7.2/en/os/ia64/gnupg-1.0.7-13.ia64.rpm

RedHat 7.3
SRPMS
ftp://updates.redhat.com/7.3/en/os/SRPMS/gnupg-1.0.7-13.src.rpm
i386
ftp://updates.redhat.com/7.3/en/os/i386/gnupg-1.0.7-13.i386.rpm

RedHat 8.0
SRPMS
ftp://updates.redhat.com/8.0/en/os/SRPMS/gnupg-1.0.7-14.src.rpm
i386
ftp://updates.redhat.com/8.0/en/os/i386/gnupg-1.0.7-14.i386.rpm

RedHat 9
SRPMS
ftp://updates.redhat.com/9/en/os/SRPMS/gnupg-1.2.1-9.src.rpm
i386
ftp://updates.redhat.com/9/en/os/i386/gnupg-1.2.1-9.i386.rpm

Linux Debian

Debian 3.0
Source
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4.dsc
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4.diff.gz
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_alpha.deb
ARM
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_arm.deb
Intel IA-32
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_i386.deb
Intel IA-64
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_ia64.deb
HP Precision
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_hppa.deb
Motorola 680x0
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_m68k.deb
Big endian MIPS
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_mips.deb
Little endian MIPS
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_mipsel.deb
PowerPC
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_powerpc.deb
IBM S/390
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_s390.deb
Sun Sparc
http://security.debian.org/pool/updates/main/g/gnupg/gnupg_1.0.6-4woody4_sparc.deb

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0255
CAN-2003-0971
BID NULL

Recursos adicionales

GnuPG security advisory dated November 27, 2003
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000276.html

Linux Mandrake security advisory MDKSA-2003:109 dated November 28 2003
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:109

SUSE Security Announcement
http://www.suse.de/de/security/2003_048_gpg.html

Linux RedHat security advisory RHSA-2003:390 dated December 10, 2003
http://rhn.redhat.com/errata/RHSA-2003-390.html11

Debian Security Advisory DSA 429-2
http://lists.debian.org/debian-security-announce/debian-security-announce-2004/msg00033.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2003-12-02
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración