Criador do GnuPG descobre falha de segurança em todas as suas versões

[arlei]

Werner Koch, programador ligado à comunidade desenvolvedora do software de encriptação voltado para a plataforma Linux Gnu Privacy Guard (GnuPG), afirmou nesta terça-feira que todas as versões do programa apresentam uma falha de "buffer overflow" (ou estouro de memória). Por conta disso, quando o software está no modo interativo, crackers podem não só encerrá-lo mas também executar remotamente códigos maliciosos em um PC Linux, mesmo que conte com as versões mais recentes do programa, como a 1.4 e a 2.0.

De acordo com o site Heise Security o boletim divulgado por Koch dá conta de que a falha foi introduzida no código do programa em 1999. A falha afeta uma rotina de cópias dos dados gerados pelo aplicativo quando realiza reformatações e filtragens de símbolos potencialmente perigosos. O problema é que ele direciona a saída desses dados para uma unidade de memória (buffer) que é muito pequena em determinadas circunstâncias.

Mas segundo a comunidade do GnuPG afirma que essa rotina só é feita caso o programa esteja no tal modo interativo. Como os programas de encriptação e decriptação utilizados por cliente de e-mail são geralmente utilizados no modo de grupo (batch), a falha não ocorre com muita freqüência. Para resolver o problema imediatamente, o usuário deverá baixar o pacote de correção criado por Koch. Outra alternativa é esperar pelos distribuidores Linux, que também deverão distribuir o patch por meio de seus repositórios.

Fonte: Módulo Security News

T+
Arlei

[arlei]

Ta ae, ja saiu as correçôes no Ubuntu.

===========================================================
Ubuntu Security Notice USN-389-1          November 29, 2006
gnupg vulnerability
http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000241.html
===========================================================

A security issue affects the following Ubuntu releases:

Ubuntu 5.10
Ubuntu 6.06 LTS
Ubuntu 6.10

This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.

The problem can be corrected by upgrading your system to the
following package versions:

Ubuntu 5.10:
  gnupg                                    1.4.1-1ubuntu1.5

Ubuntu 6.06 LTS:
  gnupg                                    1.4.2.2-1ubuntu2.3

Ubuntu 6.10:
  gnupg                                    1.4.3-2ubuntu3.1

In general, a standard system upgrade is sufficient to effect the
necessary changes.

Details follow:

A buffer overflow was discovered in GnuPG.  By tricking a user into
running gpg interactively on a specially crafted message, an attacker
could execute arbitrary code with the user's privileges.  This
vulnerability is not exposed when running gpg in batch mode.

-- ubuntu-security-announce mailing list ubuntu-security-announce@lists.ubuntu.com Modify settings or unsubscribe at: https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce

T+
Arlei

[ginho]

Acabou de disponibilizar, instalei agora.
Tinha acabado de abrir o Automatix para verificar se instalava o Wine para um amigo.
E aí, disponibilizou a atualização.