Säkerhetsbulletin från Debian

DSA-2773-1 gnupg -- flera sårbarheter

Rapporterat den:
2013-10-10
Berörda paket:
gnupg
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 725439, Fel 722722.
I Mitres CVE-förteckning: CVE-2013-4351, CVE-2013-4402.
Ytterligare information:

Två sårbarheter har upptäckts i GnuPG, GNU privacy guard, en fritt tillgänglig ersättning av PGP. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-4351

    När en nyckels eller undernyckels key flags-underpaket var satt med alla bitar av behandlade GnuPG detta som om alla bitar var satta. Detta innebär att där ägaren ville indikera ingen användning tillåten, kom GnuPG att tolka detta som all användning tillåten. Sådana ingen anvädning tillåten-nycklar är sällsynta och används endast under väldigt speciella omständigheter.

  • CVE-2013-4402

    Oändlig rekursion i tolken av komprimerade paket var möjlig med skapad inputdata, vilket kan användas för att orsaka en överbelastning.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.4.10-4+squeeze3.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.12-7+deb7u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.15-1.

Vi rekommenderar att ni uppgraderar era gnupg-paket.