blob: 874a7072cf1871611baaaf4b46491064be15dd14 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
|
#use wml::debian::translation-check translation="638ee10e8a5b6508526f43628582776c6888d874"
<define-tag moreinfo>Dos errores han sido encontrados recientemente en GnuPG:
<ol>
<li>falsos positivos al verificar firmas separadas (detached)
<p>Hay un problema en la forma en la que gpg verifica las firmas separadas
que puede conducir a falsos positivos. Las firmas separadas puede ser
verificadas con un comando como este: <code>gpg --verify detached.sig <
misdatos</code>
<p>Si alguien reemplazara detached.sig con un texto firmado (por ejemplo, una
firma no separada) y luego modificara misdatos gpg aún informaría que que se
ha verificado con éxito la firma.
<p>Para arreglar esto, se ha cambiado la manera en la ue funciona la opción
--verify: Ahora necesita dos opciones al verificar las firmas separadas: Tanto
el archivo con la firma separada como el archivo con los datos a verificar.
Fíjese en que esto lo hace incompatible con versiones anteriores.
<li>las claves secretas se importan de manera silenciosa
<p>Florian Weimer descubrió que gpg importaba claves secretas de key-servers.
Ya que gpg considera las claves públicas correspondientes a las claves
secretas conocidas confiadas en última instancia, un atacante puede usar esto
para evadir la web de confianza.
<p>Para arreglar esto, se ha añadido una nueva opción para decirle a gpg que
se le permite importar claves secretas: --allow-key-import.
</ol></define-tag>
<define-tag description>timando a las firmas separadas, evasión de la web de
confianza</define-tag>
# do not modify the following line
#include '$(ENGLISHDIR)/security/2000/20001225b.data'
|
