Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3474-1 libgcrypt20

Bulletin d'alerte Debian

DSA-3474-1 libgcrypt20 -- Mise à jour de sécurité

Date du rapport :

12 février 2016

Paquets concernés :

libgcrypt20

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7511.

Plus de précisions :

Daniel Genkin, Lev Pachmanov, Itamar Pipman et Eran Tromer ont découvert que les clés de déchiffrement ECDH secrètes dans les applications utilisant la bibliothèque libgcrypt20 pourraient être divulguées à l'aide d'une attaque par canal auxiliaire.

Voir https://www.cs.tau.ac.IL/~tromer/ecdh/ pour plus de détails.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.6.3-2+deb8u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.5-2.

Nous vous recommandons de mettre à jour vos paquets libgcrypt20.