Vulnérabilité dans GnuPG

Gestion du document

Référence	CERTA-2006-AVI-328-001
Titre	Vulnérabilité dans GnuPG
Date de la première version	17 août 2006
Date de la dernière version	17 août 2006
Source(s)	Bulletin de sécurité Debian DSA-1140 du 03 août 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance.

Systèmes affectés

GnuPG / gpg version 1.4.4 et versions antérieures.

Résumé

Une vulnérabilité dans GnuPG permet à un utilisateur distant de provoquer un déni de service à distance.

Description

Une vulnérabilité causée par une erreur dans le traitement des messages fournis en entrée permet de réaliser un déni de service en consommant les ressources du processeur ou en causant l'arrêt brutal de l'application. Cette vulnérabilité a été découverte dans le fichier parse_packet.c. Elle peut être exploitée par un utilisateur mal intentionné au moyen d'un message contenant des chaînes extrêmement longues.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Debian DSA 1140 du 03 août 2006:
```
http://www.debian.org/security/2006/dsa-1140
```
Bulletin de sécurité Debian DSA 1141 du 04 août 2006:
```
http://www.debian.org/security/2006/dsa-1141
```
Bulletin de sécurité RedHat RHSA-2006:0615 du 02 août 2006 :
```
http://rhn.redhat.com/errata/RHSA-2006-0615.html
```
Bulletin de sécurité Ubuntu USN-332-1 du 03 août 2006 :
```
http://www.ubuntulinux.org/usn/usn-332-1
```

Bulletinde sécurité Mandriva MDKSA-2006:141

http://www.mandriva.com/security/advisories?name=MDKSA-2006:141

Référence CVE CVE-2006-3746 :

https://www.cve.org/CVERecord?id=CVE-2006-3746

Gestion détaillée du document

le 04 août 2006: version initiale ;

le 17 août 2006: ajout du bulletin de sécurité Mandriva.

Avis du CERT-FR

Objet: Vulnérabilité dans GnuPG