Debian セキュリティ勧告
DLA-54-1 gnupg -- LTS セキュリティ更新
- 報告日時:
- 2014-09-14
- 影響を受けるパッケージ:
- gnupg
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-5270.
- 詳細:
-
Genkin さんと Pipman さん、Tromer さんが、Elgamal 暗号化サブ鍵へのサイドチャネル攻撃 (CVE-2014-5270) を発見しました。
この更新ではさらに、鍵サーバからの応答を扱う際の GnuPG の挙動を強化しています。GnuPG は現在鍵サーバの応答を選別し、 ユーザにより実際にリクエストされた鍵のIDだけを受け付けるようになっています。
Debian 6
Squeeze
では、この問題は gnupg バージョン 1.4.10-4+squeeze6 で修正されています。