Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2601-1 gnupg, gnupg2

Bulletin d'alerte Debian

DSA-2601-1 gnupg, gnupg2 -- Absence de vérification des entrées

Date du rapport :

6 janvier 2013

Paquets concernés :

gnupg, gnupg2

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 697108, Bogue 697251.
Dans le dictionnaire CVE du Mitre : CVE-2012-6085.

Plus de précisions :

KB Sriram a découvert que GnuPG — GNU privacy guard, un remplaçant libre de PGP — ne vérifiait pas suffisamment les clefs publiques lors de l'importation, ce qui pourrait permettre une corruption de mémoire et de trousseau.

Le problème concerne à la fois la version 1, du paquet gnupg, et la version 2, du paquet gnupg2.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.10-4+squeeze1 de gnupg et la version 2.0.14-2+squeeze1 de gnupg2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.12-7 de gnupg et la version 2.0.19-2 de gnupg2.

Nous vous recommandons de mettre à jour vos paquets gnupg et gnupg2.