Рекомендация Debian по безопасности
DSA-2773-1 gnupg -- несколько уязвимостей
- Дата сообщения:
- 10.10.2013
- Затронутые пакеты:
- gnupg
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 725439, Ошибка 722722.
В каталоге Mitre CVE: CVE-2013-4351, CVE-2013-4402. - Более подробная информация:
-
В GnuPG, GNU privacy guard, свободной замене PGP, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2013-4351
Когда у ключа или подключа все флаги подпакета
флагов ключа
отключены, GnuPG будет считать этот ключ ключом, у которого установлены все эти флаги. То есть, если владелец хочет указать, чтоникакое использование не разрешено
, GnuPG будет интерпретировать это каквсякое использование разрешено
. Такие ключ с флагаминикакое использование не разрешено
являются довольно редкими и используются только в особых обстоятельствах. - CVE-2013-4402
Возможна бесконечная рекурсия в утилите грамматического разбора сжатых пакетов, если на ввод поданы специально сформированные данные, это может приводить к отказу в обслуживании.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.10-4+squeeze3.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.12-7+deb7u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.15-1.
Мы рекомендуем вам обновить ваши пакеты gnupg.
- CVE-2013-4351