Debians sikkerhedsbulletin

DSA-2773-1 gnupg -- flere sårbarheder

Rapporteret den:
10. okt 2013
Berørte pakker:
gnupg
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 725439, Fejl 722722.
I Mitres CVE-ordbog: CVE-2013-4351, CVE-2013-4402.
Yderligere oplysninger:

To sårbarheder blev opdaget i GnuPG, GNU privacy guard, en frit tilgængelig erstatning for PGP. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-4351

    Når en nøgles eller undernøgles key flags-underpakket var opsat med alle bits slået fra, behandlede GnuPG nøglen som havende alle bits slået til. Det vil sige, når ejeren ønskede at indikere no use permitted (ingen anvendelse tilladt), fortolkede GnuPG det som all use permitted (al anvendelse tilladt). Sådanne no use permitted-nøgler er sjældne og benyttes kun under særlige omstændigheder.

  • CVE-2013-4402

    En undelig løkke var mulig i fortolkeren af komprimerede pakker, med fabrikerede inddata, hvilket måske kunne anvendes til at forårsage et lammelsesangreb (denial of service).

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.4.10-4+squeeze3.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.12-7+deb7u2.

I den ustabile distribution (sid), er disse problemer rettet i version 1.4.15-1.

Vi anbefaler at du opgraderer dine gnupg-pakker.