Информация по безопасности / 2013 / Информация о безопасности -- DSA-2773-1 gnupg

Рекомендация Debian по безопасности

DSA-2773-1 gnupg -- несколько уязвимостей

Дата сообщения:

10.10.2013

Затронутые пакеты:

gnupg

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 725439, Ошибка 722722.
В каталоге Mitre CVE: CVE-2013-4351, CVE-2013-4402.

Более подробная информация:

В GnuPG, GNU privacy guard, свободной замене PGP, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-4351

  Когда у ключа или подключа все флаги подпакета флагов ключа отключены, GnuPG будет считать этот ключ ключом, у которого установлены все эти флаги. То есть, если владелец хочет указать, что никакое использование не разрешено, GnuPG будет интерпретировать это как всякое использование разрешено. Такие ключ с флагами никакое использование не разрешено являются довольно редкими и используются только в особых обстоятельствах.

• CVE-2013-4402

  Возможна бесконечная рекурсия в утилите грамматического разбора сжатых пакетов, если на ввод поданы специально сформированные данные, это может приводить к отказу в обслуживании.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.10-4+squeeze3.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.12-7+deb7u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.15-1.

Мы рекомендуем вам обновить ваши пакеты gnupg.