Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3184-1 gnupg

Säkerhetsbulletin från Debian

DSA-3184-1 gnupg -- säkerhetsuppdatering

Rapporterat den:

2015-03-12

Berörda paket:

gnupg

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 778652.
I Mitres CVE-förteckning: CVE-2014-3591, CVE-2015-0837, CVE-2015-1606.

Ytterligare information:

Flera sårbarheter har upptäckts i GnuPG, the GNU Privacy Guard:

• CVE-2014-3591

  Dekrypteringsrutinen Elgamal var sårbart för ett sido-kanalsangrepp som upptäcktes av forskare på Tel Aviv's universitet. Skiffertextbindningar var aktiverade för att motverka detta. Notera att detta kan ha en ganska stor inverkan på prestandan vid dekryptering med hjälp av Elgamal.

• CVE-2015-0837

  Den modulära exponentieringsrutinen mpi_powm() var sårbar för ett sidokanalsangrepp orsakat av data-beroende timing-variationer vid åtkomst till dess interna förberäknade tabell.

• CVE-2015-1606

  Tolkningskoden fär nyckelringen avvisade inte vissa pakettyper korrekt, då de inte tillhörde en nyckelring, vilket orsakade åtkomst till minne som redan friats. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch) via skapade nyckelringsfiler.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.12-7+deb7u7.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 1.4.18-7.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.18-7.

Vi rekommenderar att ni uppgraderar era gnupg-paket.