Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- GnuPG / gpg versions antérieures à la version 1.4.9 ;
- GnuPG / gpg versions antérieures à la version 2.0.9.
Résumé
Une vulnérabilité a été découverte dans le logiciel GnuPG. Cette vulnérabilité peut être exploitée à distance afin de réaliser un déni de service ou d'exécuter du code arbitraire.
Description
Une vulnérabilité a été découverte dans le logiciel GnuPG. Cette vulnérabilité due à une erreur dans la gestion de clefs, lorsque celles-ci disposent de numéros d'identification dupliqués, provoquant une corruption de la mémoire.
Cette vulnérabilité peut être exploitée par un utilisateur malintentionné afin de réaliser un déni de service, ou d'exécuter du code arbitraire, à partir de la machine, ou via un serveur de clefs distant.
Solution
Mettre à jour vers les versions 1.4.8 ou 2.0.8 (cf. Documentation).
Documentation
- Annonce de mise à jour GnuPG du 26 mars 2008 :
http://lists.gnupg.org/pipermail/gnupg-announce/2008q1/000272.html
ftp://ftp.gnupg.org/gcrypt/gnupg
- Bulletin de sécurité de l'oCERT numéro 2008-01 :
http://www.ocert.org/advisories/ocert-2008-1.html
- Référence CVE CVE-2008-1530 :
https://www.cve.org/CVERecord?id=CVE-2008-1530