Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

  • GnuPG / gpg versions antérieures à la version 1.4.9 ;
  • GnuPG / gpg versions antérieures à la version 2.0.9.

Résumé

Une vulnérabilité a été découverte dans le logiciel GnuPG. Cette vulnérabilité peut être exploitée à distance afin de réaliser un déni de service ou d'exécuter du code arbitraire.

Description

Une vulnérabilité a été découverte dans le logiciel GnuPG. Cette vulnérabilité due à une erreur dans la gestion de clefs, lorsque celles-ci disposent de numéros d'identification dupliqués, provoquant une corruption de la mémoire.

Cette vulnérabilité peut être exploitée par un utilisateur malintentionné afin de réaliser un déni de service, ou d'exécuter du code arbitraire, à partir de la machine, ou via un serveur de clefs distant.

Solution

Mettre à jour vers les versions 1.4.8 ou 2.0.8 (cf. Documentation).

Documentation