Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2730-1 gnupg

Säkerhetsbulletin från Debian

DSA-2730-1 gnupg -- informationsläckage

Rapporterat den:

2013-07-29

Berörda paket:

gnupg

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 717880.
I Mitres CVE-förteckning: CVE-2013-4242.

Ytterligare information:

Yarom och Falkner upptäckte att hemliga RSA-nycklar kunde läckas via en sidkanalangrepp, där en illasinnad lokal användare kunde få åtkomst till privat nyckelinformation från en annan användare på systemet.

Den här uppdateringen rättar problemet för 1.4-serien av GnuPG. GnuPG 2.x påverkas genom dess användning av biblioteket libgcrypt11, för vilket en rättelse kommer att publiceras i DSA 2731.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.4.10-4+squeeze2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.12-7+deb7u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4.14-1.

Vi rekommenderar att ni uppgraderar era gnupg-paket.