Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2860-1 parcimonie

Bulletin d'alerte Debian

DSA-2860-1 parcimonie -- Divulgation d'informations

Date du rapport :

11 février 2014

Paquets concernés :

parcimonie

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 738134.
Dans le dictionnaire CVE du Mitre : CVE-2014-1921.

Plus de précisions :

Holger Levsen a découvert que parcimonie, un assistant, respectueux de la vie privée, pour rafraîchir des trousseaux de clefs GnuPG, est affecté par un problème de conception qui sape l'utilité de ce logiciel pour le type de menaces prévues .

Quand on utilise parcimonie avec un grand trousseau de clefs (1000 clefs publiques ou plus), il attend toujours exactement dix minutes entre deux récupérations de clefs. Cela pourrait être utilisé par un attaquant qui pourrait observer suffisamment de récupérations de clefs pour corréler de multiples récupérations de clefs entre elles, ce qui est exactement ce contre quoi parcimonie est censé protéger. De plus petits trousseaux de clefs sont affectés à un moindre degré. Ce problème est légèrement quelque peu atténué si le serveur de clefs GnuPG configuré est un groupe de serveurs HKP.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.7.1-1+deb7u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.8.1-1.

Nous vous recommandons de mettre à jour vos paquets parcimonie.