Kurzinfo CB-K16/0243 Update 1

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Bibliothek libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
Datum: 16.02.2016
Software: libgcrypt <= 1.6.3
Plattform: Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.10, Debian Linux 7.9 Wheezy, Debian Linux 8.3 Jessie
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja, aus dem lokalen Netzwerk
Risiko: niedrig
CVE Liste: CVE-2015-7511
Bezug: Debian Security Advisory DSA-3474-1
Beschreibung

Die kryptographische Bibliothek libgcrypt, die im Rahmen des GnuPG Projektes entwickelt wurde, unterstützt den Großteil der aktuell relevanten kryptografischen Verfahren.

Ein nicht authentifizierter Angreifer aus dem benachbarten Netzwerk kann mit Hilfe der elektromagnetischen Abstrahlung, die ein angegriffenes System während einer bestimmten Entschlüsselung aussendet, Informationen in Form des geheimen ECDH-Schlüssels des angegriffenen Systems ausspähen. Diese Schwachstelle wurde in GnuPGs libgcrypt Version 1.6.5 behoben. Für die Distribution Debian Jessie (stable) steht ein Backport-Sicherheitsupdate bereit. Debian empfiehlt ein Upgrade der 'libgcrypt20'-Pakete. Update: Canonical stellt Backport-Sicherheitsupdates für die Distributionen Ubuntu 12.04 LTS und 14.04 LTS in Form aktualisierter 'libgcrypt11'-Pakete und für Ubuntu 15.10 in Form aktualisierter 'libgcrypt20'-Pakete zur Verfügung. Debian stellt ebenfalls ein Backport-Sicherheitsupdate für Wheezy (oldstable) bereit und empfiehlt ein Upgrade der 'libgcrypt11'-Pakete.

  1. Schwachstelle CVE-2015-7511 (NVD)

  2. Debian Security Advisory DSA-3474-1

  3. Debian Security Advisory DSA-3478-1

  4. Ubuntu Security Notice USN-2896-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.