From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@alt-linux.org>
From: "Dmitry V. Levin" <ldv@alt-linux.org>
To: security-announce@altlinux.ru, mandrake-russian@altlinux.ru
Message-ID: <20010327164926.A3058@ldv.office.alt-linux.org>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="W/nzBZO5zC0uMSeA"
Content-Disposition: inline
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
Subject: [mdk-re] Linux-Mandrake RE Spring 2001 is not vulnurable to RPM PGP/GnuPG Verification Bug
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Mandrake/RE discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Tue Mar 27 16:44:15 2001
X-Original-Date: Tue, 27 Mar 2001 16:49:26 +0400
Archived-At: <http://lore.altlinux.org/community/20010327164926.A3058@ldv.office.alt-linux.org/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

--W/nzBZO5zC0uMSeA
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Greetings!

15 марта 2001 г. SecurityPortal.com опубликовал Security Advisory
SPSA-2001-0001 о потенциальной уязвимости в реализации проверки подписи
RPM-пакетов (http://www.securityportal.com/articles/advisory20010001.html).

В этом сообщении авторы демонстрируют метод, с помощью которого
потенциальный взломщик может подменить подписанные RPM-пакеты в случае,
когда публичный ключ, используемый для подписи, не известен системе на
момент установки нового RPM-пакета.

Однако в состав дистрибутива Linux-Mandrake RE Spring 2001 входят все
публичные ключи, используемые ALT Linux Team для подписи RPM-пакетов, в
предустановленном виде, вследствие чего Linux-Mandrake RE Spring 2001 не
подвержен атакам этого типа при установке пакетов от ALT Linux Team.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

--W/nzBZO5zC0uMSeA
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE6wIxW9viEa8HiNCkRAh56AJ0SfsjRgK+URO7Li4Un9ChFJFzhkwCeM3Yt
iOfN+8l9KcTZQUt5gGyfD4I=
=4HYF
-----END PGP SIGNATURE-----

--W/nzBZO5zC0uMSeA--