S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 avril 2008
N° CERTA-2008-AVI-172
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du logiciel GnuPG

Gestion du document

Référence CERTA-2008-AVI-172
Titre Vulnérabilité du logiciel GnuPG
Date de la première version02 avril 2008
Date de la dernière version02 avril 2008
Source(s) Avis de mise à jour GnuPG du 26 mars 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • GnuPG / gpg versions antérieures à la version 1.4.9 ;
  • GnuPG / gpg versions antérieures à la version 2.0.9.

Résumé

Une vulnérabilité a été découverte dans le logiciel GnuPG. Cette vulnérabilité peut être exploitée à distance afin de réaliser un déni de service ou d'exécuter du code arbitraire.

Description

Une vulnérabilité a été découverte dans le logiciel GnuPG. Cette vulnérabilité due à une erreur dans la gestion de clefs, lorsque celles-ci disposent de numéros d'identification dupliqués, provoquant une corruption de la mémoire.

Cette vulnérabilité peut être exploitée par un utilisateur malintentionné afin de réaliser un déni de service, ou d'exécuter du code arbitraire, à partir de la machine, ou via un serveur de clefs distant.

Solution

Mettre à jour vers les versions 1.4.8 ou 2.0.8 (cf. Documentation).

Documentation

Gestion détaillée du document

    le 02 avril 2008
    version initiale.