Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2860-1 parcimonie

Debians sikkerhedsbulletin

DSA-2860-1 parcimonie -- informationsafsløring

Rapporteret den:

11. feb 2014

Berørte pakker:

parcimonie

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 738134.
I Mitres CVE-ordbog: CVE-2014-1921.

Yderligere oplysninger:

Holger Levsen opdagede at parcimonie, et privatlivsvenligt hjælpeprogram til opfriskning af en GnuPG-nøglering, var påvirket af et designproblem, som underminerede nytten ved programmet i den tilsigtede trusselsmodel.

Ved anvendelse af parcimonie med en stor nøglering (1000 eller flere offentlige nøgler), ville programmet altid sove i præcis ti minutter mellem to nøglehentninger. Dermed kunne det formentlig benyttes af en fjende, som kan overvåge tilstrækkeligt mange nøglehentninger, til at korrelere adskillige nøglehentninger med hinanden, hvilket parcimonie forsøger at forhindre. Mindre nøgleringe er pårvirket i mindre grad. Problemet er afhjælpes en anelse, når man benytter en HKP(s)-pool som den opsatte GnuPG-nøgleserver.

I den stabile distribution (wheezy), er dette problem rettet i version 0.7.1-1+deb7u1.

I den ustabile distribution (sid), er dette problem rettet i version 0.8.1-1.

Vi anbefaler at du opgraderer dine parcimonie-pakker.