CERTA-2006-AVI-103
Vulnerability from certfr_avis

Une vulnérabilité dans GnuPG permet à un utilisateur de porter atteinte à l'intégrité des données.

Description

GnuPG présente une erreur dans la mise en œuvre du contrôle de la validité d'une signature accompagnant un document. Elle permet à un utilisateur d'insérer des données arbitraires dans un document signé (typiquement du texte supplémentaire dans un message) sans que GnuPG détecte une erreur d'intégrité.

Solution

La version 1.4.2.2 de GnuPG corrige le problème :

http://www.gnupg.org/download/

GnuPG versions 1.4.2.1 et antérieures.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eGnuPG versions 1.4.2.1 et ant\u00e9rieures.\u003c/P\u003e",
  "content": "## Description\n\nGnuPG pr\u00e9sente une erreur dans la mise en \u0153uvre du contr\u00f4le de la\nvalidit\u00e9 d\u0027une signature accompagnant un document. Elle permet \u00e0 un\nutilisateur d\u0027ins\u00e9rer des donn\u00e9es arbitraires dans un document sign\u00e9\n(typiquement du texte suppl\u00e9mentaire dans un message) sans que GnuPG\nd\u00e9tecte une erreur d\u0027int\u00e9grit\u00e9.\n\n## Solution\n\nLa version 1.4.2.2 de GnuPG corrige le probl\u00e8me :\n\n    http://www.gnupg.org/download/\n",
  "cves": [
    {
      "name": "CVE-2006-0049",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-0049"
    }
  ],
  "initial_release_date": "2006-03-13T00:00:00",
  "last_revision_date": "2006-03-16T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 FreeBSD pour GnuPG du 10 mars 2006 :",
      "url": "http://www.vuxml.org/freebsd/pkg-gnupg.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2006:0266 du 15 mars 2006    :",
      "url": "https://rhn.redhat.com/errata/RHSA-2006-0266.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Debian DSA 993 du 10 mars 2006 :",
      "url": "http://www.debian.org/security/2006/dsa-993"
    },
    {
      "title": "Site de GnuPG :",
      "url": "http://www.gnupg.org"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 200603-08 du 10 mars 2006    :",
      "url": "http://www.gentoo.org/security/en/glsa/glsa-200603-08.xml"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2006:055 du 13 mars    2006 :",
      "url": "http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:055"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Ubuntu USN-264-1 du 13 mars 2006 :",
      "url": "http://www.ubuntulinux.org/usn/usn-264-1"
    }
  ],
  "reference": "CERTA-2006-AVI-103",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-03-13T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Gentoo et Mandriva, corrections r\u00e9f\u00e9rences Debian et FreeBSD.",
      "revision_date": "2006-03-14T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 RedHat.",
      "revision_date": "2006-03-16T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans GnuPG permet \u00e0 un utilisateur de porter atteinte\n\u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans GnuPG",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 GnuPG du 9 mars 2006",
      "url": "http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000216.hmtl"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.