Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3184-1 gnupg

Bulletin d'alerte Debian

DSA-3184-1 gnupg -- Mise à jour de sécurité

Date du rapport :

12 mars 2015

Paquets concernés :

gnupg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 778652.
Dans le dictionnaire CVE du Mitre : CVE-2014-3591, CVE-2015-0837, CVE-2015-1606.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans GnuPG (GNU Privacy Guard) :

• CVE-2014-3591

  La routine de déchiffrement Elgamal était vulnérable à une attaque par canal auxiliaire découverte par des chercheurs de l'université de Tel Aviv. L'aveuglement par ciphertext a été activé pour contrer cela. Veuillez noter que cela pourrait avoir un impact important sur les performances du déchiffrement Elgamal.

• CVE-2015-0837

  La routine d'exponentiation modulaire mpi_powm() était vulnérable à une attaque par canal auxiliaire causée par des variations de temps dépendant des données lors de l'accès à sa table précalculée interne.

• CVE-2015-1606

  Le code analysant le trousseau de clés ne rejetait pas correctement certains types de paquet n'appartenant pas à un trousseau, ce qui causait un accès à de la mémoire déjà libérée. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) grâce à des fichiers de trousseau contrefaits.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.12-7+deb7u7.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.4.18-7.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.18-7.

Nous vous recommandons de mettre à jour vos paquets gnupg.