Debians sikkerhedsbulletin

DSA-2731-1 libgcrypt11 -- informationslækage

Rapporteret den:
29. jul 2013
Berørte pakker:
libgcrypt11
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-4242.
Yderligere oplysninger:

Yarom og Falkner opdagede, at hemmelige RSA-nøgler i applikationer, som benytter biblioteket libgcrypt11, eksempelvis GnuPG 2.x, kunne lækkes via et sidekanalangreb, hvor en onsindet lokal bruger kunne få adgang til private nøgleoplysninger fra en anden bruger på systemet.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.4.5-2+squeeze1.

I den stabile distribution (wheezy), er dette problem rettet i version 1.5.0-5+deb7u1.

I distributionen testing (jessie) og i den ustabile distribution (sid), er dette problem rettet i version 1.5.3-1.

Vi anbefaler at du opgraderer dine libgcrypt11-pakker.