JVNDB-2013-004585

GnuPG における暗号保護メカニズムを回避される脆弱性

GnuPG は、key flags サブパケットのすべてのビットがクリアされている (すべての使用が許可されていない) 状態を、すべてのビットがセットされている (すべての使用が許可されている) 状態として扱うため、暗号保護メカニズムを回避される脆弱性が存在します。

GNU Project

• GnuPG 1.4.x
• GnuPG 2.0.x
• GnuPG 2.1.x

第三者により、サブキーを利用されることで、暗号保護メカニズムを回避される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1987-1

Debian

• Debian Security Advisory : DSA-2773
• Debian Security Advisory : DSA-2774

Novell

• opensuse-updates : openSUSE-SU-2013:1526
• opensuse-updates : openSUSE-SU-2013:1532

オラクル

• SECURITY BLOG : (CVE-2013-4351 Cryptographic Issues vulnerability in GnuPG

レッドハット

• Red Hat Bugzilla : Bug 1010137
• Red Hat Security Advisory : RHSA-2013:1459

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2013-4351

1. National Vulnerability Database (NVD) : CVE-2013-4351
2. 関連文書 : Re: subkey binding signature with no usage flags and/or a critical notation

• [2013年10月11日]
    掲載
  [2013年12月26日]
    ベンダ情報：Debian (DSA-2773) を追加
    ベンダ情報：Debian (DSA-2774) を追加
  [2014年02月18日]
    ベンダ情報：レッドハット (RHSA-2013:1459) を追加
  [2014年08月11日]
    ベンダ情報：オラクル (CVE-2013-4351 Cryptographic Issues vulnerability in GnuPG) を追加