Kurzinfo CB-K16/0243 Update 2

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Bibliothek libgcrypt: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
Datum: 25.02.2016
Software: libgcrypt <= 1.6.3
Plattform: Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.10, Debian Linux 7.9 Wheezy, Debian Linux 8.3 Jessie, openSUSE 13.2
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja, aus dem lokalen Netzwerk
Risiko: niedrig
CVE Liste: CVE-2015-7511
Bezug: Debian Security Advisory DSA-3474-1
Beschreibung

Die kryptographische Bibliothek libgcrypt, die im Rahmen des GnuPG Projektes entwickelt wurde, unterstützt den Großteil der aktuell relevanten kryptografischen Verfahren.

Ein nicht authentifizierter Angreifer aus dem benachbarten Netzwerk kann mit Hilfe der elektromagnetischen Abstrahlung, die ein angegriffenes System während einer bestimmten Entschlüsselung aussendet, Informationen in Form des geheimen ECDH-Schlüssels des angegriffenen Systems ausspähen. Diese Schwachstelle wurde in GnuPGs libgcrypt Version 1.6.5 behoben. Für die Distribution Debian Jessie (stable) steht ein Backport-Sicherheitsupdate bereit. Debian empfiehlt ein Upgrade der 'libgcrypt20'-Pakete. Update: Für die Distribution openSUSE 13.2 stehen Backport-Sicherheitsupdates zur Verfügung, um diese Schwachstelle zu beheben.

  1. Schwachstelle CVE-2015-7511 (NVD)

  2. Debian Security Advisory DSA-3474-1

  3. Debian Security Advisory DSA-3478-1

  4. Ubuntu Security Notice USN-2896-1

  5. openSUSE Security Update openSUSE-SU-2016:0575-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.