L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de GnuPG

avis de vulnérabilité CVE-2018-12020

GnuPG : création de faux messages d'état

Synthèse de la vulnérabilité

Un attaquant peut créer de faux messages d'état dans GnuPG, afin de tromper la victime.
Produits concernés : Debian, Fedora, GnuPG, Junos Space, openSUSE Leap, Solaris, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : document.
Date création : 08/06/2018.
Date révision : 02/05/2019.
Références : bulletinjul2018, CVE-2018-12020, DSA-4222-1, DSA-4223-1, FEDORA-2018-4ef71d3525, FEDORA-2018-69780fc4d7, FEDORA-2018-a4e13742b4, JSA10917, openSUSE-SU-2018:1706-1, openSUSE-SU-2018:1708-1, openSUSE-SU-2018:1722-1, openSUSE-SU-2018:1724-1, RHSA-2018:2180-01, RHSA-2018:2181-01, SSA:2018-159-01, SSA:2018-170-01, SUSE-SU-2018:1696-1, SUSE-SU-2018:1698-1, SUSE-SU-2018:2243-1, T4012, USN-3675-1, USN-3675-2, USN-3675-3, USN-3964-1, VIGILANCE-VUL-26364.

Description de la vulnérabilité

Un attaquant peut créer de faux messages d'état dans GnuPG, afin de tromper la victime.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-1000858

GnuPG Dirmngr : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de GnuPG Dirmngr, afin de forcer la victime à effectuer des opérations.
Produits concernés : GnuPG, openSUSE Leap, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 17/12/2018.
Références : CVE-2018-1000858, openSUSE-SU-2019:0020-1, SUSE-SU-2019:0023-1, USN-3853-1, VIGILANCE-VUL-28032.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de GnuPG Dirmngr, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-9234

GnuPG : élévation de privilèges via Key Certification

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Key Certification de GnuPG, afin d'élever ses privilèges.
Produits concernés : Fedora, GnuPG, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 04/04/2018.
Références : CVE-2018-9234, FEDORA-2018-3fc05e009d, USN-3675-1, USN-3675-2, USN-3675-3, VIGILANCE-VUL-25772.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Key Certification de GnuPG, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2017-0379

Libgcrypt : obtention d'information via Curve25519 ECDH Side-channel

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Curve25519 ECDH Side-channel de Libgcrypt, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Fedora, GnuPG, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Oracle Communications, Percona Server, Slackware, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur intranet.
Date création : 30/08/2017.
Références : cpujan2019, cpujul2018, CVE-2017-0379, DSA-3959-1, FEDORA-2017-8cd171f540, FEDORA-2017-bcdeca9d41, SSA:2017-261-02, USN-3417-1, VIGILANCE-VUL-23639.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Curve25519 ECDH Side-channel de Libgcrypt, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-7526

Libgcrypt : obtention d'information via Flush Reload Side-channel Attack

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Flush Reload Side-channel Attack de Libgcrypt, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Fedora, GnuPG, openSUSE Leap, Solaris, Slackware, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 29/06/2017.
Références : bulletinoct2017, CVE-2017-7526, DLA-1015-1, DLA-1080-1, DSA-3901-1, DSA-3960-1, FEDORA-2017-3b70d0b976, FEDORA-2017-a348b32eb5, openSUSE-SU-2017:1822-1, SSA:2017-180-04, SSA:2017-213-01, USN-3347-1, USN-3347-2, USN-3733-1, USN-3733-2, VIGILANCE-VUL-23104.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Flush Reload Side-channel Attack de Libgcrypt, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-6313

GnuPG : prédiction de 160 bits

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité dans le générateur pseudo-aléatoire de GnuPG/Libgcrypt, afin de prédire des bits.
Produits concernés : Debian, Fedora, GnuPG, Security Directory Server, openSUSE, openSUSE Leap, Solaris, RHEL, Slackware, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 18/08/2016.
Références : 2000347, bulletinoct2017, CVE-2016-6313, CVE-2016-6316-ERROR, DLA-600-1, DLA-602-1, DSA-3649-1, DSA-3650-1, FEDORA-2016-2b4ecfa79f, FEDORA-2016-3a0195918f, FEDORA-2016-81aab0aff9, FEDORA-2016-9864953aa3, openSUSE-SU-2016:2208-1, openSUSE-SU-2016:2423-1, RHSA-2016:2674-01, SSA:2016-236-01, SSA:2016-236-02, USN-3064-1, USN-3065-1, VIGILANCE-VUL-20413.

Description de la vulnérabilité

Le produit GnuPG/Libgcrypt utilise un générateur pseudo-aléatoire pour générer des séries de bits, utilisées pour les clés.

Cependant, un attaquant qui peut lire 4640 bits successifs peut prédire les 160 bits suivants.

Les clés RSA existantes ne sont pas affaiblies. Les clés DSA / ElGamal existantes ne seraient pas affaiblies. L'éditeur recommande alors de ne pas révoquer les clés existantes.

Un attaquant peut donc utiliser une vulnérabilité dans le générateur pseudo-aléatoire de GnuPG/Libgcrypt, afin de prédire des bits.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 19402

GnuPG : exécution de code durant l'installation

Synthèse de la vulnérabilité

Un attaquant peut inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation de GnuPG.
Produits concernés : GnuPG.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 19/04/2016.
Références : VIGILANCE-VUL-19402.

Description de la vulnérabilité

Lorsqu'un utilisateur installe une nouvelle application sous Windows, il télécharge le programme d'installation (install.exe par exemple), puis l'exécute.

Cependant, le programme d'installation GnuPG charge des DLL (uxtheme.dll, winmm.dll, samcli.dll, msacm32.dll, version.dll, sfc.dll, sfc_os.dll, userenv.dll, profapi.dll, dwmapi.dll, mpr.dll) depuis le répertoire courant. Ainsi, si un attaquant a invité la victime à télécharger un fichier DLL malveillant, avant qu'il exécute install.exe depuis le répertoire Téléchargement, le code situé dans la DLL est exécuté.

Un attaquant peut donc inviter la victime à télécharger des bibliothèques illicites sous Windows, afin d'exécuter du code lors de l'installation de GnuPG.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-7511

Libgcrypt : obtention d'information via ECDH

Synthèse de la vulnérabilité

Un attaquant situé à proximité peut capturer des ondes électromagnétiques lors d'un chiffrement ECDH par Libgcrypt, afin d'obtenir des informations sur la clé privée.
Produits concernés : Debian, Fedora, GnuPG, openSUSE, openSUSE Leap, Solaris, Slackware, Ubuntu, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : liaison radio.
Date création : 15/02/2016.
Références : bulletinoct2017, CVE-2015-7511, DSA-3474-1, DSA-3478-1, FEDORA-2016-ec4c27d766, openSUSE-SU-2016:0575-1, openSUSE-SU-2016:1227-1, SSA:2016-054-03, USN-2896-1, VIGILANCE-VUL-18938.

Description de la vulnérabilité

La bibliothèque Libgcrypt implémente un algorithme de chiffrement basé sur ECDH (Elliptic Curve Diffie Hellman).

Cependant, lors du chiffrement d'un ciphertext connu et spécial, un attaquant peut capturer les émanations électromagnétiques de l'ordinateur, pour obtenir des informations sur les interruptions, et calculer la clé ECDH.

Un attaquant situé à proximité peut donc capturer des ondes électromagnétiques lors d'un chiffrement ECDH par Libgcrypt, afin d'obtenir des informations sur la clé privée.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 16842

GnuPG : obtention d'information via OpenPGP Format

Synthèse de la vulnérabilité

Un attaquant, qui peut observer les messages d'erreur qui se produisent durant un déchiffrement automatique par GnuPG, peut envoyer de nombreux messages chiffrés afin de progressivement deviner le contenu du message en clair.
Produits concernés : GnuPG.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Date création : 07/05/2015.
Références : VIGILANCE-VUL-16842.

Description de la vulnérabilité

Le produit GnuPG peut être installé afin de déchiffrer automatiquement des messages.

Lorsqu'une erreur se produit lors du déchiffrement, GnuPG affiche un message. Cependant, le message d'erreur dépend de l'endroit où l'erreur s'est produite.

Un attaquant, qui peut observer les messages d'erreur qui se produisent durant un déchiffrement automatique par GnuPG, peut donc envoyer de nombreux messages chiffrés afin de progressivement deviner le contenu du message en clair.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 16583

GnuPG : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de GnuPG.
Produits concernés : GnuPG.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 14/04/2015.
Références : VIGILANCE-VUL-16583.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans GnuPG.

Un attaquant peut lire un fragment de la mémoire d'un processus gpgparsemail, afin d'obtenir des informations sensibles. [grav:1/4]

Un attaquant peut créer un paquet PGP avec un taille négative, afin de mener un déni de service. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur GnuPG :