Nueva actualización crítica de GNUPG

Se publica una nueva actualización de seguridad de GNUPG, tras apenas unas semanas desde la última revisión.

GnuPG es un software “Open Source” (GPL) y gratuito, que permite la firma y cifrado de documentos mediante criptografía simétrica y asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good Privacy), y nació como respuesta a la introducción de las variantes PGP comerciales. GnuPG cumple el estándar OpenPGP.

Aunque GnuPG es una herramienta fundamentalmente Unix y línea de comando, existen implementaciones también para plataformas Windows, y frontales gráficos para un uso más simple.

La versión 1.4.2.2 soluciona una grave vulnerabilidad en la que un documento firmado correctamente puede “extraerse” e insertar datos arbitrarios al principio o al final del mismo. Por ejemplo, se puede añadir texto malicioso a un mensaje de correo electrónico firmado digitalmente. Dicho texto malicioso estará fuera del bloque de texto firmado, que no ha sido alterado, con lo que la firma se verificará como correcta. Pero al extraer el texto del mensaje, se agregará también el texto malicioso, sin ningún tipo de separación intermedia con el texto firmado real.

Hispasec recomienda a todos los usuarios de GNUPG que actualicen cuanto antes a la versión 1.4.2.2. Esto incluye también a los usuarios que empleen GnuPG de forma indirecta, normalmente sin su conocimiento, como el caso descrito de los paquetes de software RPM, DEB o similares, programas de correo electrónicos, etc.

Como siempre, recomendamos verificar la firma digital de la actualización, especialmente si se descarga de un lugar no oficial. En caso de no ser posible, las huellas digitales SHA1 de los ficheros son:

f5559ddb004e0638f6bd9efe2bac00134c5065ba gnupg-1.4.2.2.tar.bz2

959540c1c6158e09d668ceee055bf366dc26d0bd gnupg-1.4.2.2.tar.gz

880b3e937f232b1ca366bda37c4a959aacbd84f3 gnupg-1.4.2.1-1.4.2.2.diff.bz2

95dd7fd4c49423b86704acfc396ce5a53c8b19e7 gnupg-w32cli-1.4.2.2.exe