Säkerhetsbulletin från Debian
DSA-2774-1 gnupg2 -- flera sårbarheter
- Rapporterat den:
- 2013-10-10
- Berörda paket:
- gnupg2
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 722724, Fel 725433.
I Mitres CVE-förteckning: CVE-2013-4351, CVE-2013-4402. - Ytterligare information:
-
Två sårbarheter har upptäckts i GnuPG 2, GNU privacy guard, en fritt tillgänglig ersättning av PGP. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2013-4351
När en nyckels eller undernyckels
key flags
-underpaket var satt med alla bitar av behandlade GnuPG detta som om alla bitar var satta. Detta innebär att där ägaren ville indikeraingen användning tillåten
, kom GnuPG att tolka detta somall användning tillåten
. Sådanaingen anvädning tillåten
-nycklar är sällsynta och används endast under väldigt speciella omständigheter. - CVE-2013-4402
Oändlig rekursion i tolken av komprimerade paket var möjlig med skapad inputdata, vilket kan användas för att orsaka en överbelastning.
För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 2.0.14-2+squeeze2.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.0.19-2+deb7u1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.22-1.
Vi rekommenderar att ni uppgraderar era gnupg2-paket.
- CVE-2013-4351