Debians sikkerhedsbulletin
DSA-3185-1 libgcrypt11 -- sikkerhedsopdatering
- Rapporteret den:
- 12. mar 2015
- Berørte pakker:
- libgcrypt11
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-3591, CVE-2015-0837.
- Yderligere oplysninger:
-
Adskillige sårbarheder blev opdaget i libgcrypt:
- CVE-2014-3591
Elgamal-dekrypteringsrutinen var sårbar over for et sidekanalsangreb, opdagede af efterforskere ved Tel Aviv University. Ciphertext-blinding blev aktiveret for at modstå det. Bemærk at det kan have en ganske mærkbar indvirkning på Elgamal-dekrypteringerins ydeevne.
- CVE-2015-0837
Den modulære eksponentieringsrutine mpi_powm() var sårbar over for et sidekanalsangreb forårsaget af dataafhængig timingsvariationer, når den tilgår sin interne præberegnede tabel.
I den stabile distribution (wheezy), er disse problemer rettet i version 1.5.0-5+deb7u3.
Vi anbefaler at du opgraderer dine libgcrypt11-pakker.
- CVE-2014-3591