Säkerhetsbulletin från Debian

DSA-2731-1 libgcrypt11 -- informationsläckage

Rapporterat den:
2013-07-29
Berörda paket:
libgcrypt11
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-4242.
Ytterligare information:

Yarom och Falkner upptäckte att hemliga RSA-nycklar i applikationer som använder sig av biblioteket libgcrypt11, exempelvis GnuPG 2.x, kunde läckas via ett sidokanalsangrepp, där den illasinnade lokala användaren kunde få åtkomst till privat nyckelinformation från en annan användare på systemet.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.4.5-2+squeeze1.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.5.0-5+deb7u1.

För uttestningsutgåvan (Jessie) och instabila utgåvan (Sid), har detta problem rättats i version 1.5.3-1.

Vi rekommenderar att ni uppgraderar era libgcrypt11-paket.