• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3184-1 gnupg -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3184-1 gnupg -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
gnupg (any)
Описание
В GnuPG, GNU Privacy Guard, были обнаружены многочисленные уязвимости:

CVE-2014-3591
Функция расшифровки Elgamal, вероятно, подвержена атаке через сторонний
    канал, что было обнаружено исследователями из Тель-Авивского университета. Для предотвращения этой
    угрозы было включено заслепнение шифротекста. Заметьте, что это может оказать
    заметное влияние на производительность расшифровки Elgamal.
CVE-2015-0837
Модульная экспоненциальная функция mpi_powm(), возможно, подвержена атаке через
    сторонний канал из-за вариаций таймингов в зависимости от данных при доступе
    к внутренней предварительно вычисленной таблице.
CVE-2015-1606
Код грамматического разбора брелока ключей неправильно отклоняет определённые
    типы пакетов, не относящиеся к брелоку, что приводит к доступу к уже освобождённой
    памяти. Это может позволить удалённым злоумышленникам вызвать отказ
    в обслуживании (аварийная остановка работы) с помощью специально сформированных файлов клюей.

В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.12-7+deb7u7.
В готовящемся стабильном выпуске (jessie) эти проблемы были
исправлены в версии 1.4.18-7.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.4.18-7.
Рекомендуется обновить пакеты gnupg.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
gnupg - 1.4.12-7+deb7u7
Ссылки
http://www.debian.org/security/dsa-3184/

Источник: CVE
Наименование: CVE-2015-0837
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0837

Источник: CVE
Наименование: CVE-2014-3591
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3591

Источник: CVE
Наименование: CVE-2015-1606
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1606