Debians sikkerhedsbulletin

DSA-3185-1 libgcrypt11 -- sikkerhedsopdatering

Rapporteret den:
12. mar 2015
Berørte pakker:
libgcrypt11
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-3591, CVE-2015-0837.
Yderligere oplysninger:

Adskillige sårbarheder blev opdaget i libgcrypt:

  • CVE-2014-3591

    Elgamal-dekrypteringsrutinen var sårbar over for et sidekanalsangreb, opdagede af efterforskere ved Tel Aviv University. Ciphertext-blinding blev aktiveret for at modstå det. Bemærk at det kan have en ganske mærkbar indvirkning på Elgamal-dekrypteringerins ydeevne.

  • CVE-2015-0837

    Den modulære eksponentieringsrutine mpi_powm() var sårbar over for et sidekanalsangreb forårsaget af dataafhængig timingsvariationer, når den tilgår sin interne præberegnede tabel.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.5.0-5+deb7u3.

Vi anbefaler at du opgraderer dine libgcrypt11-pakker.