Säkerhetsbulletin från Debian
DSA-3649-1 gnupg -- säkerhetsuppdatering
- Rapporterat den:
- 2016-08-17
- Berörda paket:
- gnupg
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-6313.
- Ytterligare information:
-
Felix Doerre och Vladimir Klebanov från Tekniska Institutet i Karlsruhe upptäckte en brist i blandningsfunktionerna i GnuPG's slumptalsgenerator. Em angripare som får 4640 bitar från RNG kan trivialt förutse de följande 160 bitarna av utdata.
En första analys av inverkan av detta fel för GnuPG visar att existerande RSA-nycklar inte är försvagade. För DSA- och Elgamal-nycklar är det även osannolikt att privata nycklar kan förutses från annan publik information.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.18-7+deb8u2.
Vi rekommenderar att ni uppgraderar era gnupg-paket.