Bulletin d'alerte Debian

DLA-1015-1 libgcrypt11 -- Mise à jour de sécurité pour LTS

Date du rapport :
6 juillet 2017
Paquets concernés :
libgcrypt11
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-7526.
Plus de précisions :

Il existait une vulnérabilité de divulgation de clef dans libgcrypt11, une bibliothèque de routines de chiffrement.

Il est bien connu que l’implémentation en temps constant d’exponentiation modulaire ne peut pas utiliser des fenêtres dynamiques. Cependant, les bibliothèques logicielles telles que Libgcrypt, utilisée par GnuPG, continuent d’utiliser des fenêtres dynamiques. Il est largement admis que, même si le modèle complet des carrés et multiplications est observé à travers une attaque par canal auxiliaire, le nombre de bits d’exposant divulgué n’est pas suffisant pour conduire à une récupération complète de clef à l’encontre de RSA. En particulier, des fenêtres dynamiques de quatre bits divulguent seulement 40 % des bits, et celles de cinq bits en divulguent seulement 33%.

-- Sliding right into disaster : Left-to-right sliding windows leak
https://eprint.iacr.org/2017/627

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1.5.0-5+deb7u6 de libgcrypt11.

Nous vous recommandons de mettre à jour vos paquets libgcrypt11.