DFN-CERT-2015-1464 Bibliothek libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][SuSE]

DFN-CERT-2015-1464 Bibliothek libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libgcrypt

Betroffene Plattformen:

openSUSE 13.1
openSUSE 13.2

Eine Schwachstelle in der Bibliothek libgcrypt ermöglicht einem entfernten,
nicht authentifizierten Angreifer Informationen auszuspähen.

openSUSE stellt für die Distributionen openSUSE 13.1 und openSUSE 13.2
Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2015:1596-1

http://lists.opensuse.org/opensuse-updates/2015-09/msg00033.html

openSUSE Bug Id 944835: Schwachstelle in Libgcrypt ermöglicht Ausspähen von
Informationen

Es existiert eine Schwachstelle in libgcrypt, die durch eine fehlerhafte
Implementierung der RSA-CRT (Chinese Remainder Theorem)-Optimierung in RSA
hervorgerufen wird. Kommt es während der Berechnung einer Signatur zu einem
Fehler (Hardware-Fehler o.ä.), ist es möglich den privaten Schlüssel aus der
Signatur wiederherzustellen (Lentra’s fault attack).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1464/

openSUSE Security Update openSUSE-SU-2015:1596-1:
http://lists.opensuse.org/opensuse-updates/2015-09/msg00033.html

Schwachstelle CVE-2015-5738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5738

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben