Säkerhetsbulletin från Debian

DSA-3185-1 libgcrypt11 -- säkerhetsuppdatering

Rapporterat den:
2015-03-12
Berörda paket:
libgcrypt11
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-3591, CVE-2015-0837.
Ytterligare information:

Flera sårbarheter har upptäckts i libgcrypt:

  • CVE-2014-3591

    Dekrypteringsrutinen Elgamal var sårbart för ett sido-kanalsangrepp som upptäcktes av forskare på Tel Aviv's universitet. Skiffertextbindningar var aktiverade för att motverka detta. Notera att detta kan ha en ganska stor inverkan på prestandan vid dekryptering med hjälp av Elgamal.

  • CVE-2015-0837

    Den modulära exponentieringsrutinen mpi_powm() var sårbar för ett sidokanalsangrepp orsakat av data-beroende timing-variationer vid åtkomst till dess interna förberäknade tabell.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.5.0-5+deb7u3.

Vi rekommenderar att ni uppgraderar era libgcrypt11-paket.