Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
gnupg
(any)
Описание
В GnuPG, GNU Privacy Guard, были обнаружены многочисленные уязвимости:
CVE-2014-3591
Функция расшифровки Elgamal, вероятно, подвержена атаке через сторонний
канал, что было обнаружено исследователями из Тель-Авивского университета. Для предотвращения этой
угрозы было включено заслепнение шифротекста. Заметьте, что это может оказать
заметное влияние на производительность расшифровки Elgamal.
CVE-2015-0837
Модульная экспоненциальная функция mpi_powm(), возможно, подвержена атаке через
сторонний канал из-за вариаций таймингов в зависимости от данных при доступе
к внутренней предварительно вычисленной таблице.
CVE-2015-1606
Код грамматического разбора брелока ключей неправильно отклоняет определённые
типы пакетов, не относящиеся к брелоку, что приводит к доступу к уже освобождённой
памяти. Это может позволить удалённым злоумышленникам вызвать отказ
в обслуживании (аварийная остановка работы) с помощью специально сформированных файлов клюей.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.12-7+deb7u7.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 1.4.18-7.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.4.18-7.
Рекомендуется обновить пакеты gnupg.
CVE-2014-3591
Функция расшифровки Elgamal, вероятно, подвержена атаке через сторонний
канал, что было обнаружено исследователями из Тель-Авивского университета. Для предотвращения этой
угрозы было включено заслепнение шифротекста. Заметьте, что это может оказать
заметное влияние на производительность расшифровки Elgamal.
CVE-2015-0837
Модульная экспоненциальная функция mpi_powm(), возможно, подвержена атаке через
сторонний канал из-за вариаций таймингов в зависимости от данных при доступе
к внутренней предварительно вычисленной таблице.
CVE-2015-1606
Код грамматического разбора брелока ключей неправильно отклоняет определённые
типы пакетов, не относящиеся к брелоку, что приводит к доступу к уже освобождённой
памяти. Это может позволить удалённым злоумышленникам вызвать отказ
в обслуживании (аварийная остановка работы) с помощью специально сформированных файлов клюей.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.12-7+deb7u7.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 1.4.18-7.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.4.18-7.
Рекомендуется обновить пакеты gnupg.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
gnupg - 1.4.12-7+deb7u7
Debian GNU/Linux 7:
noarch:
gnupg - 1.4.12-7+deb7u7
Ссылки
http://www.debian.org/security/dsa-3184/
Источник: CVE
Наименование: CVE-2015-0837
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0837
Источник: CVE
Наименование: CVE-2014-3591
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3591
Источник: CVE
Наименование: CVE-2015-1606
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1606
Источник: CVE
Наименование: CVE-2015-0837
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0837
Источник: CVE
Наименование: CVE-2014-3591
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3591
Источник: CVE
Наименование: CVE-2015-1606
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1606