UPDATE: DFN-CERT-2017-1523 Libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-1523 Libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (02.11.2017):
Für Fedora 25 und 26 stehen die Pakete ‘libgcrypt-1.7.9-1.fc25’ und
‘libgcrypt-1.7.9-1.fc26’ als Sicherheitsupdates im Status ‘testing’
bereit.
Version 3 (15.09.2017):
Für die Distribution Ubuntu 17.04 steht ein Sicherheitsupdate für
‘libgcrypt20’ zur Behebung der Schwachstelle bereit.
Version 2 (07.09.2017):
Für Fedora 27 steht ein Sicherheitsupdate für Libgcrypt auf Version 1.8.1
im Status ‘testing’ bereit, um diese Schwachstelle zu beheben.
Version 1 (30.08.2017):
Neues Advisory

Betroffene Software:

Libgcrypt < 1.7.9 Libgcrypt < 1.8.1 Betroffene Plattformen: Canonical Ubuntu Linux 17.04 Debian Linux 9.1 Stretch GNU/Linux Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle in Libgcrypt ermöglicht einem lokalen, einfach authentisierten Angreifer das Ausspähen privaten Schlüsselmaterials. Das GnuPG-Projekt hat die Schwachstelle in den Versionen 1.7.9 und 1.8.1 behoben. Der Quellcode dieser Versionen steht zum Herunterladen zur Verfügung. Debian stellt für die stabile Distribution Stretch (9.1) ein Backport-Sicherheitsupdate des Pakets 'libgcrypt20' in Version '1.7.6-2+deb9u2' bereit. Patch: Debian Security Advisory DSA-3959-1 https://www.debian.org/security/2017/dsa-3959

Patch:

Libgcrypt Download-Seite

https://gnupg.org/ftp/gcrypt/libgcrypt/

Patch:

Fedora Security Update FEDORA-2017-a9c79eed83 (Fedora 27,
libgcrypt-1.8.1-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a9c79eed83

Patch:

Ubuntu Security Notice USN-3417-1

http://www.ubuntu.com/usn/usn-3417-1/

Patch:

Fedora Security Update FEDORA-2017-8cd171f540 (fedora 25,
libgcrypt-1.7.9-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8cd171f540

Patch:

Fedora Security Update FEDORA-2017-bcdeca9d41 (Fedora 26,
libgcrypt-1.7.9-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-bcdeca9d41

CVE-2017-0379: Schwachstelle in Libgcrypt ermöglicht Ausspähen von
Informationen

In Libgcrypt vor den Versionen 1.7.9 und 1.8.1 existiert eine Schwachstelle
für die ECDH-Verschlüsselung mit Curve25519, aufgrund zeitlich nicht
konstanter Operationen in ‘cipher/ecc.c’ und ‘mpi/ec.c’, wodurch unter
bestimmten Bedingungen lokale Seitenkanalangriffe durch die Beobachtung von
Verarbeitungsdauern möglich sind, durch welche privates Schlüsselmaterial
ermittelt werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1523/

Schwachstelle CVE-2017-0379 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0379

Debian Security Advisory DSA-3959-1:
https://www.debian.org/security/2017/dsa-3959

Libgcrypt Download-Seite:
https://gnupg.org/ftp/gcrypt/libgcrypt/

Cryptology ePrint Archive: Report 2017/806: ‘May the Fourth Be With You: A
Microarchitectural Side Channel Attack on Several Real-World Applications of
Curve25519’:
https://eprint.iacr.org/2017/806

Fedora Security Update FEDORA-2017-a9c79eed83 (Fedora 27,
libgcrypt-1.8.1-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a9c79eed83

Ubuntu Security Notice USN-3417-1:
http://www.ubuntu.com/usn/usn-3417-1/

Fedora Security Update FEDORA-2017-8cd171f540 (fedora 25,
libgcrypt-1.7.9-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8cd171f540

Fedora Security Update FEDORA-2017-bcdeca9d41 (Fedora 26,
libgcrypt-1.7.9-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-bcdeca9d41

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben