Debian DLA-602-1:gnupg 安全性和強化更新
medium Nessus Plugin ID 93199
語系:
概要
遠端 Debian 主機缺少一個安全性更新。說明
CVE-2016-6313Karlsruhe Institute of Technology 的 Felix Doerre 和 Vladimir Klebanov 發現 GnuPG 亂數產生器的混合函式中有一個瑕疵。從 RNG 取得 4640 位元的攻擊者可輕鬆預測接下來 160 個輸出位元。
針對此錯誤對 GnuPG 造成之影響所進行的第一個分析顯示,現有 RSA 金鑰並未出現弱點。至於 DSA 和 Elgamal 金鑰,使用者也不可能從其他公開資訊預測私密金鑰。
繞過 GnuPG 金鑰檢查:
在 GnuPG 簽章驗證中發現多個弱點,透過特別偽造的公開金鑰且在特定硬體-軟體情形下時,攻擊者可惡意利用這些弱點。由於無法僅透過軟體解決基礎問題,因此現已強化 GnuPG,可避免在驗證金鑰時,僅仰賴 keyring 簽章快取。透過 GnuPG 的修補程式,特定的潛在攻擊已無法再成功發動
繞過 GnuPG 金鑰檢查:
Vrije Universiteit Amsterdam 和 Katholieke Universteit Leuven 研究人員發現,一個稱為 Flip Feng Shui 的攻擊方法與 GnuPG 中的瑕疵有關。研究人員發現,在某些硬體-軟體情形下,攻擊者可使用偽造的公開金鑰繞過 GnuPG 簽章驗證。由於無法僅透過軟體解決基礎問題,因此現已將 GnuPG 強化得更健全,可避免在驗證金鑰時,僅仰賴 keyring 簽章快取。
針對 Debian 7「Wheezy」,這些問題已在 1.4.12-7+deb7u8 版本中解決。
建議您升級 gnupg 套件。
注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
升級受影響的套件。另請參閱
https://packages.debian.org/source/wheezy/gnupg
https://lists.debian.org/debian-lts-announce/2016/08/msg00030.html
Plugin 詳細資訊
嚴重性: Medium
ID: 93199
檔案名稱: debian_DLA-602.nasl
版本: 2.6
類型: local
代理程式: unix
已發布: 2016/8/30
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.2
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
風險因素: Medium
基本分數: 5.3
時間分數: 4.6
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:gnupg, p-cpe:/a:debian:debian_linux:gnupg-curl, p-cpe:/a:debian:debian_linux:gnupg-udeb, p-cpe:/a:debian:debian_linux:gpgv, p-cpe:/a:debian:debian_linux:gpgv-udeb, p-cpe:/a:debian:debian_linux:gpgv-win32, cpe:/o:debian:debian_linux:7.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/8/29
參考資訊
CVE: CVE-2016-6313