Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3474-1 libgcrypt20

Säkerhetsbulletin från Debian

DSA-3474-1 libgcrypt20 -- säkerhetsuppdatering

Rapporterat den:

2016-02-12

Berörda paket:

libgcrypt20

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-7511.

Ytterligare information:

Daniel Genkin, Lev Pachmanov, Itamar Pipman och Eran Tromer upptäckte att ECDH's hemliga dekrypteringsnycklar i applikationer som använder biblioteket libgcrypt20 kunde läckas via ett sidokanalsangrepp.

Se https://www.cs.tau.ac.IL/~tromer/ecdh/ för ytterligare detaljer.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.6.3-2+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.6.5-2.

Vi rekommenderar att ni uppgraderar era libgcrypt20-paket.