Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2730-1 gnupg

Debians sikkerhedsbulletin

DSA-2730-1 gnupg -- informationslækage

Rapporteret den:

29. jul 2013

Berørte pakker:

gnupg

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 717880.
I Mitres CVE-ordbog: CVE-2013-4242.

Yderligere oplysninger:

Yarom og Falkner opdagede, at hemmelige RSA-nøgler kunne lækkes via et sidekanalangreb, hvor en ondsindet lokal bruger kunne få adgang til private nøgleoplysninger fra en anden bruger på systemet.

Opdateringen retter problemet i GnuPG's 1.4-serie. GnuPG 2.x er påvirket via anvendelsen af biblioteket libgcrypt11, til hvilken en rettelse vil blive udgivet i DSA 2731.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.4.10-4+squeeze2.

I den stabile distribution (wheezy), er dette problem rettet i version 1.4.12-7+deb7u1.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.14-1.

Vi anbefaler at du opgraderer dine gnupg-pakker.