Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3959-1 libgcrypt20

Säkerhetsbulletin från Debian

DSA-3959-1 libgcrypt20 -- säkerhetsuppdatering

Rapporterat den:

2017-08-29

Berörda paket:

libgcrypt20

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 873383.
I Mitres CVE-förteckning: CVE-2017-0379.

Ytterligare information:

Daniel Genkin, Luke Valenta och Yuval Yarom upptäckte att Libgcrypt är sårbart för ett lokalt sidokanalsangrepp mot EDCH-kryptering med Curve25519, vilket tillåter återställning av den privata nyckeln.

Se https://eprint.iacr.org/2017/806 för deltaljer.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.7.6-2+deb9u2.

För den instabila distributionen (Sid) har detta problem rättats i version 1.7.9-1.

Vi rekommenderar att ni uppgraderar era libgcrypt20-paket.