Bulletin d'alerte Debian
DSA-3185-1 libgcrypt11 -- Mise à jour de sécurité
- Date du rapport :
- 12 mars 2015
- Paquets concernés :
- libgcrypt11
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2014-3591, CVE-2015-0837.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans libgcrypt :
- CVE-2014-3591
La routine de déchiffrement Elgamal était vulnérable à une attaque par canal auxiliaire découverte par des chercheurs de l'université de Tel Aviv. L'aveuglement par ciphertext a été activé pour contrer cela. Veuillez noter que cela pourrait avoir un impact important sur les performances du déchiffrement Elgamal.
- CVE-2015-0837
La routine d'exponentiation modulaire mpi_powm() était vulnérable à une attaque par canal auxiliaire causée par des variations de temps dépendant des données lors de l'accès à sa table précalculée interne.
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.5.0-5+deb7u3.
Nous vous recommandons de mettre à jour vos paquets libgcrypt11.
- CVE-2014-3591