[security-announce] Linux-Mandrake RE Spring 2001 is not vulnurable to RPM PGP/GnuPG Verification Bug

[Dmitry V. Levin]

Greetings!

15 марта 2001 г. SecurityPortal.com опубликовал Security Advisory
SPSA-2001-0001 о потенциальной уязвимости в реализации проверки подписи
RPM-пакетов (http://www.securityportal.com/articles/advisory20010001.html).

В этом сообщении авторы демонстрируют метод, с помощью которого
потенциальный взломщик может подменить подписанные RPM-пакеты в случае,
когда публичный ключ, используемый для подписи, не известен системе на
момент установки нового RPM-пакета.

Однако в состав дистрибутива Linux-Mandrake RE Spring 2001 входят все
публичные ключи, используемые ALT Linux Team для подписи RPM-пакетов, в
предустановленном виде, вследствие чего Linux-Mandrake RE Spring 2001 не
подвержен атакам этого типа при установке пакетов от ALT Linux Team.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/security-announce/attachments/20010327/744ab131/attachment-0003.bin>