Actualización crítica de GnuPG

Las versiones no actualizadas de GnuPG contienen una vulnerabilidad que permite que se den por buenas alteraciones en archivos y documentos firmados digitalmente.

GnuPG es un software “Open Source” (GPL) y gratuito, que permite la firma y cifrado de documentos mediante criptografía simétrica y asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good Privacy), y nació como respuesta a la introducción de las variantes PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es una herramienta fundamentalmente UNIX y línea de comando, existen implementaciones también para plataformas Windows, y frontales gráficos para un uso más simple.

Las versiones no actualizadas de GnuPG contienen una grave vulnerabilidad que afecta a la verificación de las firmas digitales de archivos y documentos. El problema radica en que si bien GnuPG detecta adecuadamente cuando una firma es incorrecta, por modificación de los datos originales asociados, y muestra esa información en pantalla, el código de retorno que proporciona el programa al terminar su ejecución es “cero”, que significa que la firma es correcta.

Por lo tanto, aunque una persona examinando la pantalla es notificada de que la firma es incorrecta, un programa automatizado recibirá un código “cero”, indicando una firma correcta.

Por ello, la vulnerabilidad es especialmente grave en entornos automatizados y en herramientas que ocultan las operaciones criptográficas internas al usuario. Por ejemplo, en entornos UNIX, la verificación de paquetes de software como RPM o DEB.

Hispasec recomienda a todos los usuarios de GnuPG que actualicen con la mayor urgencia posible a la versión 1.4.2.1, recién publicada. Esto incluye también a los usuarios que empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como el caso descrito de los paquetes de software RPM, DEB o similares, programas de correo electrónicos, etc.

Como siempre, recomendamos verificar la firma digital de la actualización, especialmente si se descarga de un lugar no oficial. En caso de no ser posible, las huellas digitales SHA1 de los ficheros son:

1c0306ade25154743d6f6f9ac05bee74c55c6eda gnupg-1.4.2.1.tar.bz2

cefc74560f21bde74eed298d86460612cd7e12ee gnupg-1.4.2.1.tar.gz

98d597b1a9871b4aadc820d8641b36ce09125612 gnupg-1.4.2-1.4.2.1.diff.bz2

a4db35a72d72df8e76751adc6f013b4c96112fd4 gnupg-w32cli-1.4.2.1.exe