UPDATE: DFN-CERT-2017-1129 Libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2017-1129 Libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (06.07.2017):
Für SUSE Linux Enterprise Software Development Kit 11 SP4 und 12 SP2,
Server 11 SP4 und 12 SP2, Server for Raspberry Pi 12 SP2, Desktop 12 SP2
und Debuginfo 11 SP4 sowie OpenStack Cloud Magnum Orchestration 7 stehen
Sicherheitsupdates für Libgcrypt zur Behebung der Schwachstelle zur
Verfügung.
Version 2 (03.07.2017):
Debian stellt für die Distributionen Jessie (oldstable), Stretch (stable)
und Buster (testing) Sicherheitsupdates bereit.
Version 1 (30.06.2017):
Neues Advisory

Betroffene Software:

Libgcrypt < 1.7.8 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP2 OpenStack Magnum 7 Debian Linux 8.8 Jessie Debian Linux 9.0 Stretch Debian Linux 10.0 Buster SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der Bibliothek Libgcrypt ausnutzen, um in einem Seitenkanalangriff RSA-Schlüssel zu rekonstruieren und somit sensitive Informationen auszuspähen. GnuPG behebt diese Schwachstelle mit der aktuellen stabilen Libgcrypt Version 1.7.8. Für Fedora 24, 25 und 26 stehen Sicherheitsupdates auf Libgcrypt 1.7.8 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2017-22107b1986 (Fedora 26, libgcrypt-1.7.8-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-22107b1986

Patch:

Fedora Security Update FEDORA-2017-3b70d0b976 (Fedora 24,
libgcrypt-1.7.8-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-3b70d0b976

Patch:

Fedora Security Update FEDORA-2017-a348b32eb5 (Fedora 25,
libgcrypt-1.7.8-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a348b32eb5

Patch:

GnuPG Libgcrypt Software

https://www.gnupg.org/software/libgcrypt/

Patch:

Debian Security Advisory DSA-3901-1

https://www.debian.org/security/2017/dsa-3901

Patch:

SUSE Security Update SUSE-SU-2017:1793-1

http://lists.suse.com/pipermail/sle-security-updates/2017-July/003013.html

Patch:

SUSE Security Update SUSE-SU-2017:1794-1

http://lists.suse.com/pipermail/sle-security-updates/2017-July/003014.html

CVE-2017-7526: Schwachstelle in Libgcrypt ermöglicht Ausspähen von
Informationen

Die RSA-1024-Implementierung von Libgcrypt verwendet bei der Berechnung ein
von links nach rechts laufendes gleitendes Fenster (Left-to-right Sliding
Window Method), wodurch diese verwundbar gegenüber
Cache-Side-Channel-Angriffen ist und RSA-1024 infolgedessen komplett
gebrochen, d.h. private RSA-Schlüssel einfach zurückgerechnet werden können.
Es wird angenommen, dass derselbe Angriff mit moderatem Mehrrechenaufwand
auch für RSA-2048 möglich ist. Voraussetzung für diesen Seitenkanalangriff
ist allerdings, dass ein Angreifer beliebige Software auf der Hardware
ausführen kann, auf welcher der RSA-Schlüssel verwendet wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1129/

Fedora Security Update FEDORA-2017-22107b1986 (Fedora 26,
libgcrypt-1.7.8-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-22107b1986

Fedora Security Update FEDORA-2017-3b70d0b976 (Fedora 24,
libgcrypt-1.7.8-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-3b70d0b976

Fedora Security Update FEDORA-2017-a348b32eb5 (Fedora 25,
libgcrypt-1.7.8-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a348b32eb5

GnuPG Libgcrypt Software:
https://www.gnupg.org/software/libgcrypt/

Schwachstelle CVE-2017-7526 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7526

Debian Security Advisory DSA-3901-1:
https://www.debian.org/security/2017/dsa-3901

SUSE Security Update SUSE-SU-2017:1793-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003013.html

SUSE Security Update SUSE-SU-2017:1794-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003014.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben