セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2860-1 parcimonie

Debian セキュリティ勧告

DSA-2860-1 parcimonie -- 情報漏洩

報告日時:

2014-02-11

影響を受けるパッケージ:

parcimonie

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 738134.
Mitre の CVE 辞書: CVE-2014-1921.

詳細:

Holger Levsen さんが parcimonie、プライバシーに配慮した GnuPG 鍵リングの更新支援ツールが設計上の問題による影響で 対象とした脅威モデルでのこの種のソフトウェアの有用性を損なうことを発見しました。

(公開鍵が 1000 以上登録されているような) 巨大なキーリングに対して parcimonie を使った場合、2つの鍵を取得する間に常に10分程度固まります。 恐らく、鍵を十分に取得したことを観察できる攻撃者がこれを利用して、 複数の鍵の取得を互いに関連づけることが可能になりますが、それこそが parcimonie が保護対象としていることです。 もっと小さい鍵リングでは影響も小さくなるでしょう。設定している GnuPG 鍵サーバに hkp(s) pool を使っている場合、この問題はわずかに緩和されます。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 0.7.1-1+deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.8.1-1 で修正されています。

直ちに parcimonie パッケージをアップグレードすることを勧めます。