Debians sikkerhedsbulletin
DSA-2773-1 gnupg -- flere sårbarheder
- Rapporteret den:
- 10. okt 2013
- Berørte pakker:
- gnupg
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 725439, Fejl 722722.
I Mitres CVE-ordbog: CVE-2013-4351, CVE-2013-4402. - Yderligere oplysninger:
-
To sårbarheder blev opdaget i GnuPG, GNU privacy guard, en frit tilgængelig erstatning for PGP. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2013-4351
Når en nøgles eller undernøgles
key flags
-underpakket var opsat med alle bits slået fra, behandlede GnuPG nøglen som havende alle bits slået til. Det vil sige, når ejeren ønskede at indikereno use permitted
(ingen anvendelse tilladt
), fortolkede GnuPG det somall use permitted
(al anvendelse tilladt
). Sådanneno use permitted
-nøgler er sjældne og benyttes kun under særlige omstændigheder. - CVE-2013-4402
En undelig løkke var mulig i fortolkeren af komprimerede pakker, med fabrikerede inddata, hvilket måske kunne anvendes til at forårsage et lammelsesangreb (denial of service).
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.4.10-4+squeeze3.
I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.12-7+deb7u2.
I den ustabile distribution (sid), er disse problemer rettet i version 1.4.15-1.
Vi anbefaler at du opgraderer dine gnupg-pakker.
- CVE-2013-4351