DFN-CERT-2014-1109 GnuPG, libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][SuSE]

DFN-CERT-2014-1109 GnuPG, libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GnuPG <= 2.0.25 libcrypt <= 1.5.3 Betroffene Plattformen: openSUSE 12.3 openSUSE 13.1 Ein lokaler, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um an Verschlüsselungskeys zu gelangen und damit weiterhin an vertrauliche Informationen. Patch: openSUSE-SU-2014:1058-1 http://lists.opensuse.org/opensuse-updates/2014-08/msg00037.html

CVE-2014-5270: Schwachstelle in libgcrypt

Eine Schwachstelle in libgcrypt ermöglicht einem lokalen, nicht
authentifizierten Angreifer Seitenkanal-Angriffe durchzuführen. In einem
Experiment wurde festgestellt, dass Notebooks und PCs eine elektrische
Grundspannung besitzen, die abhängig von den Berechnungen des Prozessors
fluktuiert. Dadurch kann der Angreifer mit Hilfe von einfachen
Signalmessungen direkt am Notebook oder PC RSA und Elgamal Schlüssel
extrahieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1109/

openSUSE-SU-2014:1058-1:
http://lists.opensuse.org/opensuse-updates/2014-08/msg00037.html

Schwachstelle CVE-2014-5270 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5270

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben