Информация по безопасности / 2013 / Информация о безопасности -- DSA-2774-1 gnupg2

Рекомендация Debian по безопасности

DSA-2774-1 gnupg2 -- несколько уязвимостей

Дата сообщения:

10.10.2013

Затронутые пакеты:

gnupg2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 722724, Ошибка 725433.
В каталоге Mitre CVE: CVE-2013-4351, CVE-2013-4402.

Более подробная информация:

В GnuPG 2, GNU privacy guard, свободной замене PGP, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-4351

  Когда у ключа или подключа все флаги подпакета флагов ключа отключены, GnuPG будет считать этот ключ ключом, у которого установлены все эти флаги. То есть, если владелец хочет указать, что никакое использование не разрешено, GnuPG будет интерпретировать это как всякое использование разрешено. Такие ключ с флагами никакое использование не разрешено являются довольно редкими и используются только в особых обстоятельствах.

• CVE-2013-4402

  Возможна бесконечная рекурсия в утилите грамматического разбора сжатых пакетов, если на ввод поданы специально сформированные данные, это может приводить к отказу в обслуживании.

В предыдущем стабильном выпуске (squeeze) эти проблема были исправлены в версии 2.0.14-2+squeeze2.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.0.19-2+deb7u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.0.22-1.

Мы рекомендуем вам обновить ваши пакеты gnupg2.