セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2502-1 python-crypto

Debian セキュリティ勧告

DSA-2502-1 python-crypto -- プログラムミス

報告日時:

2012-06-24

影響を受けるパッケージ:

python-crypto

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-2417.

詳細:

Python 向け暗号アルゴリズムとプロトコルライブラリ PythonCrypto に、 欠陥が発見されました。ElGamal の鍵生成で十分に安全でない素数が使われ ているため、弱い署名や公開鍵暗号が生成され、それら鍵に対する総当り解 読が容易になっています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.1.0-2+squeeze1 で修正されています。 以前に作成した鍵は再作成が必要です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 2.6-1 で修正されています。

直ぐに python-crypto パッケージをアップグレードすることを勧めます。 以前に作成した鍵は再作成が必要です。