Bulletin d'alerte Debian

DSA-2731-1 libgcrypt11 -- Fuite d'informations

Date du rapport :
29 juillet 2013
Paquets concernés :
libgcrypt11
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-4242.
Plus de précisions :

Yarom et Falkner ont découvert que les clés secrètes RSA dans les applications utilisant la bibliothèque libgcrypt11, telle que GnuPG 2.x, pourraient être divulguées à l'aide d'une attaque de type side channel, dans laquelle un utilisateur local malveillant pourrait obtenir les informations de clé privée d'un autre utilisateur du système.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.4.5-2+squeeze1.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.5.0-5+deb7u1.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.3-1.

Nous vous recommandons de mettre à jour vos paquets libgcrypt11.