GnuPG es un software “Open Source” (GPL) y gratuito, que permite la firma y cifrado de documentos mediante criptografía simétrica y asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good Privacy), y nació como respuesta a la introducción de las variantes PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es una herramienta fundamentalmente UNIX y línea de comando, existen implementaciones también para plataformas Windows, y frontales gráficos para un uso más simple.
Las versiones no actualizadas de GnuPG contienen una grave vulnerabilidad que afecta a la verificación de las firmas digitales de archivos y documentos. El problema radica en que si bien GnuPG detecta adecuadamente cuando una firma es incorrecta, por modificación de los datos originales asociados, y muestra esa información en pantalla, el código de retorno que proporciona el programa al terminar su ejecución es “cero”, que significa que la firma es correcta.
Por lo tanto, aunque una persona examinando la pantalla es notificada de que la firma es incorrecta, un programa automatizado recibirá un código “cero”, indicando una firma correcta.
Por ello, la vulnerabilidad es especialmente grave en entornos automatizados y en herramientas que ocultan las operaciones criptográficas internas al usuario. Por ejemplo, en entornos UNIX, la verificación de paquetes de software como RPM o DEB.
Hispasec recomienda a todos los usuarios de GnuPG que actualicen con la mayor urgencia posible a la versión 1.4.2.1, recién publicada. Esto incluye también a los usuarios que empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como el caso descrito de los paquetes de software RPM, DEB o similares, programas de correo electrónicos, etc.
Como siempre, recomendamos verificar la firma digital de la actualización, especialmente si se descarga de un lugar no oficial. En caso de no ser posible, las huellas digitales SHA1 de los ficheros son:
1c0306ade25154743d6f6f9ac05bee74c55c6eda gnupg-1.4.2.1.tar.bz2
cefc74560f21bde74eed298d86460612cd7e12ee gnupg-1.4.2.1.tar.gz
98d597b1a9871b4aadc820d8641b36ce09125612 gnupg-1.4.2-1.4.2.1.diff.bz2
a4db35a72d72df8e76751adc6f013b4c96112fd4 gnupg-w32cli-1.4.2.1.exe
De media, los ataques están comenzando 4,76 días después de que se divulguen los nuevos…
Hasta un 70 % de los usuarios consultados se muestra satisfecho o muy satisfecho con…
Hyperion mejora a Atlas con la incorporación de tecnología de Lenovo como los nodos ThinkSystem…
El gigante de Redomd amplía hasta 170 sus servicios certificados en la nube.
Oracle renombra su sistema de gestión de bases de datos "debido a la importancia de…
Durante el primer trimestre, Confluent ingresó 217 millones de dólares, de los que 107 millones…