Säkerhetsbulletin från Debian
DSA-3185-1 libgcrypt11 -- säkerhetsuppdatering
- Rapporterat den:
- 2015-03-12
- Berörda paket:
- libgcrypt11
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-3591, CVE-2015-0837.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i libgcrypt:
- CVE-2014-3591
Dekrypteringsrutinen Elgamal var sårbart för ett sido-kanalsangrepp som upptäcktes av forskare på Tel Aviv's universitet. Skiffertextbindningar var aktiverade för att motverka detta. Notera att detta kan ha en ganska stor inverkan på prestandan vid dekryptering med hjälp av Elgamal.
- CVE-2015-0837
Den modulära exponentieringsrutinen mpi_powm() var sårbar för ett sidokanalsangrepp orsakat av data-beroende timing-variationer vid åtkomst till dess interna förberäknade tabell.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.5.0-5+deb7u3.
Vi rekommenderar att ni uppgraderar era libgcrypt11-paket.
- CVE-2014-3591