gnupg-1.4.5-18.AXS3

エラータID: AXSA:2013-679:01

リリース日: 
2013/11/25 Monday - 13:43
題名: 
gnupg-1.4.5-18.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- GnuPG の g10/import.c の read_block 関数には,キーをインポートする際に,OpenPGP パケットの巧妙に細工された長さのフィールドによって,リモートの攻撃者がパブリックキーリングデータベースを破壊したり,サービス拒否 (アプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2012-6085)

- GnuPG と Libgcrypt には,L3 キャッシュを含むキャッシュサイドチャネル攻撃によって,ローカルのユーザがプライベートの RSA キーを取得する脆弱性があります。(CVE-2013-4242)

- GnuPG はすべてのビットがクリアされた (すべて使用禁止) キーフラグサブパケットを,あたかもすべてのビットがセットされている(すべて使用許可) ように扱い,サブキーを使用することによって,リモートの攻撃者が暗号保護メカニズムを迂回する脆弱性があります。(CVE-2013-4351)

- GnuPG には リモートの攻撃者が巧妙に細工された OpenPGP メッセージによって,サービス拒否 (無限再帰) を引き起こす脆弱性があります。(CVE-2013-4402)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-6085
The read_block function in g10/import.c in GnuPG 1.4.x before 1.4.13 and 2.0.x through 2.0.19, when importing a key, allows remote attackers to corrupt the public keyring database or cause a denial of service (application crash) via a crafted length field of an OpenPGP packet.
CVE-2013-4242
GnuPG before 1.4.14, and Libgcrypt before 1.5.3 as used in GnuPG 2.0.x and possibly other products, allows local users to obtain private RSA keys via a cache side-channel attack involving the L3 cache, aka Flush+Reload.
CVE-2013-4351
GnuPG 1.4.x, 2.0.x, and 2.1.x treats a key flags subpacket with all bits cleared (no usage permitted) as if it has all bits set (all usage permitted), which might allow remote attackers to bypass intended cryptographic protection mechanisms by leveraging the subkey.
CVE-2013-4402
The compressed packet parser in GnuPG 1.4.x before 1.4.15 and 2.0.x before 2.0.22 allows remote attackers to cause a denial of service (infinite recursion) via a crafted OpenPGP message.


追加情報: 

N/A

ダウンロード: 

SRPMS
  1. gnupg-1.4.5-18.AXS3.src.rpm
    MD5: bf9f6e88f4c84b7a5e5fc791078f168b
    SHA-256: 0810df4be321be88061678a704e2213c0f12e5c856f182007d0dc78941f1ea17
    Size: 2.98 MB

Asianux Server 3 for x86
  1. gnupg-1.4.5-18.AXS3.i386.rpm
    MD5: 4702ac6d0f3b22f81662ba5e715d50c4
    SHA-256: a2f482fff0d0c46d0c3d56e200f548abf3f04412d930d075b276158b159122c8
    Size: 1.83 MB

Asianux Server 3 for x86_64
  1. gnupg-1.4.5-18.AXS3.x86_64.rpm
    MD5: c328fb63a37151406e99bf304321d102
    SHA-256: 1e845477cfbc9c49d0ed819786ebea76b2e3cb62ef5c0d6f74cad04bdea943ee
    Size: 1.82 MB