Рекомендация Debian по безопасности

DSA-2773-1 gnupg -- несколько уязвимостей

Дата сообщения:
10.10.2013
Затронутые пакеты:
gnupg
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 725439, Ошибка 722722.
В каталоге Mitre CVE: CVE-2013-4351, CVE-2013-4402.
Более подробная информация:

В GnuPG, GNU privacy guard, свободной замене PGP, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2013-4351

    Когда у ключа или подключа все флаги подпакета флагов ключа отключены, GnuPG будет считать этот ключ ключом, у которого установлены все эти флаги. То есть, если владелец хочет указать, что никакое использование не разрешено, GnuPG будет интерпретировать это как всякое использование разрешено. Такие ключ с флагами никакое использование не разрешено являются довольно редкими и используются только в особых обстоятельствах.

  • CVE-2013-4402

    Возможна бесконечная рекурсия в утилите грамматического разбора сжатых пакетов, если на ввод поданы специально сформированные данные, это может приводить к отказу в обслуживании.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.10-4+squeeze3.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.12-7+deb7u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.15-1.

Мы рекомендуем вам обновить ваши пакеты gnupg.