Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3478-1 libgcrypt11

Bulletin d'alerte Debian

DSA-3478-1 libgcrypt11 -- Mise à jour de sécurité

Date du rapport :

15 février 2016

Paquets concernés :

libgcrypt11

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7511.

Plus de précisions :

Daniel Genkin, Lev Pachmanov, Itamar Pipman et Eran Tromer ont découvert que les clés de déchiffrement ECDH secrètes dans les applications utilisant la bibliothèque libgcrypt11 pourraient être divulguées à l'aide d'une attaque par canal auxiliaire.

Voir https://www.cs.tau.ac.IL/~tromer/ecdh/ pour plus de détails.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.5.0-5+deb7u4.

Nous vous recommandons de mettre à jour vos paquets libgcrypt11.