GLSA 200503-29: GnuPG: OpenPGP protocol attack
| Опасность: | низкая |
| Заголовок: | GnuPG: OpenPGP protocol attack |
| Дата: | 24.03.2005 |
| Ошибки: | |
| ID: | 200503-29 |
Сводка
Automated systems using GnuPG may leak plaintext portions of an encrypted message.Назначение
GnuPG is complete and free replacement for PGP, a tool for secure communication and data storage.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-crypt/gnupg | < 1.4.1 | >= 1.4.1 | All supported architectures |
Описание
A flaw has been identified in an integrity checking mechanism of the OpenPGP protocol.
Воздействие
An automated system using GnuPG that allows an attacker to repeatedly discover the outcome of an integrity check (perhaps by observing the time required to return a response, or via overly verbose error messages) could theoretically reveal a small portion of plaintext.
Обход
There is no known workaround at this time.
Решение
All GnuPG users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-crypt/gnupg-1.4.1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.