Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2860-1 parcimonie

Säkerhetsbulletin från Debian

DSA-2860-1 parcimonie -- utlämnande av information

Rapporterat den:

2014-02-11

Berörda paket:

parcimonie

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 738134.
I Mitres CVE-förteckning: CVE-2014-1921.

Ytterligare information:

Holger Levsen upptäckte att parcimonie, en sekretess-vänlig hjälpare till att uppdatera en GnuPG-nyckelring, påverkas av ett designproblem som underminerar användbarheten för denna mjukvara i den avsedda hotmodellen.

Vid användning av parcimonie med en stor nyckelring (1000 publika nycklar eller mer), så kom programmet att sova exakt tio minuter mellan två nyckelhämtningar. Detta kan användas av en fiende som kan beskåda tillräckligt många nyckelhämtningar för att korrelera flera nyckelhämtningar med varandra, vilket är vad som parcimonie är tänkt att skydda emot. Små nyckelringar påverkas inte till samma grad. Detta problem mildras något vid användning av en HKP(s)-pool som den förkonfigurerade GnuPG-nyckelservern.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.7.1-1+deb7u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.8.1-1.

Vi rekommenderar att ni uppgraderar era parcimonie-paket.