UPDATE: DFN-CERT-2017-0993 libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-0993 libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.06.2017):
Für die Debian Distributionen Jessie und Stretch stehen Sicherheitsupdates
bereit.
Version 1 (12.06.2017):
Neues Advisory

Betroffene Software:

libgcrypt < 1.7.7 Betroffene Plattformen: Debian Linux 8.8 Jessie Debian Linux 9.0 Stretch Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer, der den EdDSA-Sitzungsschlüssel während eines Signaturprozesses in einer Seitenkanalattacke abgreifen kann, kann daraus den 'Long Term Secret Key' rekonstruieren und nachfolgend die Sicherheitsvorkehrung der Sitzungsverschlüsselung umgehen, um Informationen aus Sitzungen auszuspähen. Der Hersteller stellt libgcrypt 1.7.7 als Sicherheitsupdate bereit. Für Fedora 26 steht ein Sicherheitsupdate auf diese Version im Status 'stable' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-0343b2d324 (libgcrypt-1.7.7-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-0343b2d324

Patch:

Libgcrypt 1.7.7 Release Notes

https://lists.gnu.org/archive/html/info-gnu/2017-06/msg00001.html

Patch:

Debian Security Advisory DSA-3880-1

https://www.debian.org/security/2017/dsa-3880

CVE-2017-9526: Schwachstelle in libgcrypt ermöglicht Ausspähen von
Informationen

Der EdDSA-Sitzungsschlüssel wird nicht in sicherem Speicher aufbewahrt.
Dadurch sind Seitenkanalangriffe im Kontext von Laufzeiten von
Rechenoperationen (Constant Time Point Operations) möglich.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0993/

Fedora Security Update FEDORA-2017-0343b2d324 (libgcrypt-1.7.7-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0343b2d324

Libgcrypt 1.7.7 Release Notes:
https://lists.gnu.org/archive/html/info-gnu/2017-06/msg00001.html

Debian Security Advisory DSA-3880-1:
https://www.debian.org/security/2017/dsa-3880

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben