LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1675-1 python-gnupg

Bulletin d'alerte Debian

DLA-1675-1 python-gnupg -- Mise à jour de sécurité pour LTS

Date du rapport :

14 février 2019

Paquets concernés :

python-gnupg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-6690.

Plus de précisions :

Alexander Kjäll et Stig Palmquist ont découvert une vulnérabilité dans python-gnupg, une enveloppe autour de GNU Privacy Guard. Il était possible d’injecter des données à l’aide de la propriété de phrase secrète des fonctions gnupg.GPG.encrypt() et gnupg.GPG.decrypt() lorsque le chiffrement symétrique est utilisé. La phrase secrète fournie n’est pas validée pour "newline" et la bibliothèque transmet --passphrase-fd=0 à l’exécutable gpg qui attend la phrase de passe sur la première ligne de stdin, et le texte chiffré à déchiffrer ou le texte simple à chiffrer sur les lignes suivantes.

En fournissant une phrase secrète contenant un "newline", un attaquant peut contrôler ou modifier le texte chiffré ou simple à déchiffrer ou chiffrer.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 0.3.6-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets python-gnupg.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS