• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2860-1 parcimonie -- раскрытие информации

Главная Специалистам База уязвимостей DSA-2860-1 parcimonie -- раскрытие информации

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
parcimonie (any)
Описание
Холгер Левсен обнаружил, что parcimonie, утилита для обновления связки
ключей GnuPG, содержит дефект общего плана разработки, которая подрывает
полезность данного ПО для защиты от предполагаемых угроз.
При использовании parcimonie с большими связками ключей (1000 и более публичных ключей)
утилита каждый раз засыпает между двумя загрузками ключей ровно на десять минут. Это
может использоваться злоумышленниками, которые имеют возможность просмотреть достаточное количество загрузок ключей для
установления корреляции загрузок ключей друг с другом, а именно от этого и
должна защищать parcimonie. Меньшие связки ключей подвержены этой проблеме в меньшей
степени. Данная проблема слегка смягчается при использовании пула HKP в качестве
настроенного сервера ключей GnuPG.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 0.7.1-1+deb7u1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 0.8.1-1.
Рекомендуется обновить пакеты parcimonie.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
parcimonie - 0.7.1-1+deb7u1
Ссылки
http://www.debian.org/security/dsa-2860/

Источник: CVE
Наименование: CVE-2014-1921
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1921