Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libgcrypt < 1.7.7 Betroffene Plattformen: Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer, der den EdDSA-Sitzungsschlüssel während eines Signaturprozesses in einer Seitenkanalattacke abgreifen kann, kann daraus den 'Long Term Secret Key' rekonstruieren und nachfolgend die Sicherheitsvorkehrung der Sitzungsverschlüsselung umgehen, um Informationen aus Sitzungen auszuspähen. Der Hersteller stellt libgcrypt 1.7.7 als Sicherheitsupdate bereit. Für Fedora 26 steht ein Sicherheitsupdate auf diese Version im Status 'stable' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-0343b2d324 (libgcrypt-1.7.7-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-0343b2d324

Patch:

Libgcrypt 1.7.7 Release Notes

https://lists.gnu.org/archive/html/info-gnu/2017-06/msg00001.html

CVE-2017-9526: Schwachstelle in libgcrypt ermöglicht Ausspähen von
Informationen

Der EdDSA-Sitzungsschlüssel wird nicht in sicherem Speicher aufbewahrt.
Dadurch sind Seitenkanalangriffe im Kontext von Laufzeiten von
Rechenoperationen (Constant Time Point Operations) möglich.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0993/

Fedora Security Update FEDORA-2017-0343b2d324 (libgcrypt-1.7.7-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0343b2d324

Libgcrypt 1.7.7 Release Notes:
https://lists.gnu.org/archive/html/info-gnu/2017-06/msg00001.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.