Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2730-1 gnupg

Bulletin d'alerte Debian

DSA-2730-1 gnupg -- Fuite d'informations

Date du rapport :

29 juillet 2013

Paquets concernés :

gnupg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 717880.
Dans le dictionnaire CVE du Mitre : CVE-2013-4242.

Plus de précisions :

Yarom et Falkner ont découvert que les clés secrètes RSA pourraient être divulguées à l'aide d'une attaque de type side channel, où un utilisateur local malveillant pourrait obtenir les informations de clé privée d'un autre utilisateur du système.

Cette mise à jour règle ce problème pour les versions 1.4 de GnuPG. GnuPG 2.x est affecté à cause de son utilisation de la bibliothèque libgcrypt11 pour laquelle un correctif sera publié dans DSA 2731.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.4.10-4+squeeze2.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.4.12-7+deb7u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.14-1.

Nous vous recommandons de mettre à jour vos paquets gnupg.