blob: a2c9efd78f579603d8c00babcd73dc0876197c22 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
|
#use wml::debian::translation-check translation="638ee10e8a5b6508526f43628582776c6888d874" maintainer="Lev Lamberov"
<define-tag moreinfo>В GnuPG недавно было обнаружено две ошибки:
<ol>
<li>ложные срабатывания при проверке отдельных подписей
<p>В способе выполнения проверки отдельных подписей присутствует проблема, которая
может приводить к ложным срабатываниям. Отдельные подписи можно проверить при помощи
следующей команды: <code>gpg --verify detached.sig < mydata</code>
<p>Если кто-то заменяет detached.sig подписанным текстом (то есть, не
отдельной подписью) и изменяет mydata, то gpg всё ещё будет сообщать об
успешной проверке подписи.
<p>Для исправления этого была изменена работа опции --verify. Теперь её
требуются две опции при проверке отдельный подписей: и файл с отдельной
подписью, и файл с проверяемыми данными. Заметьте, что это поведение
не совместимо с предыдущими версиями!
<li>закрытые ключи импортируются без сообщения об этом
<p>Флориан Ваймер обнаружил, что gpg молча импортирует закрытые ключи с
серверов ключей. Поскольку gpg считает, что открытые ключи, соответствующие известным закрытым
ключам, максимально доверенными, постольку злоумышленник может использовать эту уязвимость для того,
чтобы обойти сеть доверия.
<p>Для исправления этого была добавлена новая опция, которая позволяет gpg импортировать
закрытые ключи: --allow-key-import.
</ol></define-tag>
<define-tag description>жульничество с отдельными подписями, обход сети доверия</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225b.data'
|