Säkerhetsbulletin från Debian
DSA-2773-1 gnupg -- flera sårbarheter
- Rapporterat den:
- 2013-10-10
- Berörda paket:
- gnupg
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 725439, Fel 722722.
I Mitres CVE-förteckning: CVE-2013-4351, CVE-2013-4402. - Ytterligare information:
-
Två sårbarheter har upptäckts i GnuPG, GNU privacy guard, en fritt tillgänglig ersättning av PGP. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2013-4351
När en nyckels eller undernyckels
key flags
-underpaket var satt med alla bitar av behandlade GnuPG detta som om alla bitar var satta. Detta innebär att där ägaren ville indikeraingen användning tillåten
, kom GnuPG att tolka detta somall användning tillåten
. Sådanaingen anvädning tillåten
-nycklar är sällsynta och används endast under väldigt speciella omständigheter. - CVE-2013-4402
Oändlig rekursion i tolken av komprimerade paket var möjlig med skapad inputdata, vilket kan användas för att orsaka en överbelastning.
För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.4.10-4+squeeze3.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.12-7+deb7u2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.15-1.
Vi rekommenderar att ni uppgraderar era gnupg-paket.
- CVE-2013-4351