Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3184-1 gnupg

Debians sikkerhedsbulletin

DSA-3184-1 gnupg -- sikkerhedsopdatering

Rapporteret den:

12. mar 2015

Berørte pakker:

gnupg

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 778652.
I Mitres CVE-ordbog: CVE-2014-3591, CVE-2015-0837, CVE-2015-1606.

Yderligere oplysninger:

Adskillige sårbarheder blev opdaget GnuPG, GNU Privacy Guard:

• CVE-2014-3591

  Elgamal-dekrypteringsrutinen var sårbar over for et sidekanalsangreb, opdagede af efterforskere ved Tel Aviv University. Ciphertext-blinding blev aktiveret for at modstå det. Bemærk at det kan have en ganske mærkbar indvirkning på Elgamal-dekrypteringerins ydeevne.

• CVE-2015-0837

  Den modulære eksponentieringsrutine mpi_powm() var sårbar over for et sidekanalsangreb forårsaget af dataafhængig timingsvariationer, når den tilgår sin interne præberegnede tabel.

• CVE-2015-1606

  Nøgleringsfortolkningskoden afviste ikke på korrekt vis visse pakketyper, som ikke hører til i en nøglering, hvilket medførte adgang til hukommelse, som allerede er frigivet. Det kunne gøre det muligt for fjernangribere at forårsage et lammelsesangreb (nedbrud) gennem fabrikerede nøgleringsfiler.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.12-7+deb7u7.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 1.4.18-7.

I den ustabile distribution (sid), er disse problemer rettet i version 1.4.18-7.

Vi anbefaler at du opgraderer dine gnupg-pakker.