DFN-CERT-2015-0272 GnuPG: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2015-0272 GnuPG: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GnuPG <= 1.4.18 Betroffene Plattformen: Red Hat Fedora 21 Red Hat Fedora 22 Zwei Schwachstellen in GnuPG ermöglichen einem lokalen, nicht authentifizierten Angreifer Informationen auszuspähen. Patch: Fedora Security Update FEDORA-2015-2872 https://admin.fedoraproject.org/updates/FEDORA-2015-2872/gnupg-1.4.19-1.fc22

Patch:

Fedora Security Update FEDORA-2015-2893

https://admin.fedoraproject.org/updates/FEDORA-2015-2893/gnupg-1.4.19-1.fc21

CVE-2015-0837: Schwachstelle in GnuPG ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in GnuPG führt dazu, dass es zu zeitlichen Unterschieden
bei der Ausführung der diskreten Exponentialfunktion in Abhängigkeit von den
verarbeiteten Daten kommt. Ein lokaler, nicht authentifizierter Angreifer
kann durch das Ausnutzen der Schwachstelle Rückschlüsse auf den verwendeten
Schlüssel ziehen.

CVE-2014-3591: Schwachstelle in GnuPG ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in GnuPG ermöglicht, durch die Verwendung eines Software
Defined Radio (SDR) und entsprechender Software, einen Seitenkanal
(Sidechannel) Angriff, wodurch der geheime Schlüssel extrahiert wird. Dieser
Angriff ist auch mit einem normalen Radio und einem Handy möglich.
Ein präparierter, verschlüsselter Text wird an den Zielrechner versendet und
löst bei der Dekodierung bestimmte Werte innerhalb der Software aus. Diese
Werte erzeugen Veränderungen innerhalb des elektromagnetischen Feldes,
welches den Computer umgibt in Abhängigkeit von dem Muster der
Schüssel-Bits. Ein lokaler, nicht authentifizierter Angreifer kann durch das
Ausnutzen der Schwachstelle Zugriff auf sensible Informationen enthalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0272/

Fedora Security Update FEDORA-2015-2872:
https://admin.fedoraproject.org/updates/FEDORA-2015-2872/gnupg-1.4.19-1.fc22

Fedora Security Update FEDORA-2015-2893:
https://admin.fedoraproject.org/updates/FEDORA-2015-2893/gnupg-1.4.19-1.fc21

Schwachstelle CVE-2014-3591 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3591

Schwachstelle CVE-2015-0837 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0837

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben