Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4222-1 gnupg2

Aviso de seguridad de Debian

DSA-4222-1 gnupg2 -- actualización de seguridad

Fecha del informe:

8 de jun de 2018

Paquetes afectados:

gnupg2

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2018-12020.

Información adicional:

Marcus Brinkmann descubrió que GnuPG realizaba un saneado insuficiente de los nombres de ficheros en los mensajes de estado, lo cual podría aprovecharse para falsear el estado de verificación de un correo electrónico firmado.

El aviso del proyecto original contiene más detalles: https://lists.gnupg.org/pipermail/gnupg-announce/2018q2/000425.html

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 2.0.26-6+deb8u2.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.1.18-8~deb9u2.

Le recomendamos que actualice los paquetes de gnupg2.

Para información detallada sobre el estado de seguridad de gnupg2 consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/gnupg2