セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2730-1 gnupg

Debian セキュリティ勧告

DSA-2730-1 gnupg -- 情報漏洩

報告日時:

2013-07-29

影響を受けるパッケージ:

gnupg

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 717880.
Mitre の CVE 辞書: CVE-2013-4242.

詳細:

Yuval Yarom さんと Katrina Falkner さんが、サイドチャネル攻撃を経由して RSA 秘密鍵が漏洩する可能性があることを発見しました。悪意のあるローカルユーザが そのシステムの他のユーザの秘密鍵情報を取得することが可能です。

この更新では GnuPG の 1.4 系列についてこの問題を修正します。GnuPG 2.x は libgcrypt11 ライブラリを利用していることからこの影響を受けますが、その修正については DSA 2731 で公開されます。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.4.10-4+squeeze2 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.4.12-7+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.4.14-1 で修正されています。

直ちに gnupg パッケージをアップグレードすることを勧めます。