Libgcrypt : Une mise à jour urgente pour remédier à une grave vulnérabilité

Spread the love
  • Yum

Libgcrypt : Une mise à jour urgente pour remédier à une grave vulnérabilité

Les développeurs de Libgcrypt ont publié une mise à jour urgente pour remédier à une vulnérabilité critique signalée dans une version récente du logiciel.

Libgcrypt est une bibliothèque cryptographique open source et un module pour GNU Privacy Guard (GnuPG). Bien que le code puisse être utilisé indépendamment, Libgcrypt s’appuie sur la bibliothèque GnuPG “libgpg-error”.

La version 1.9.0 du logiciel a été publiée le 19 janvier. La semaine dernière, Tavis Ormandy, chercheur du Project Zero chez Google, a révélé publiquement l’existence d’un « dépassement de tas dans Libgcrypt en raison d’une hypothèse incorrecte dans le code de gestion du tampon de bloc ».

publicité

Une vulnérabilité facilement exploitable

« Le simple déchiffrement de certaines données peut faire déborder un tampon de tas. Aucune vérification ou signature n’est validée avant que la vulnérabilité ne se produise », explique Tavis Ormandy. « Je pense que cela est facilement exploitable. »

Le chercheur a transmis ses conclusions aux développeurs de Libgcrypt. Dès réception du rapport, l’équipe a publié un avis immédiat à l’intention des utilisateurs : « [Announce] [urgent] Stop using Libgcrypt 1.9.0! ».

Dans l’avis, le principal développeur de GnuPG, Werner Koch, demande aux utilisateurs de cesser d’utiliser la version 1.9.0, qui, en tant que nouvelle version, avait commencé à être adoptée par des projets tels que Fedora 34 et Gentoo.

Mettre à niveau vers la version 1.9.1

Une nouvelle version de libgcrypt, la version 1.9.1, a été publiée en quelques heures pour remédier à la vulnérabilité, qui n’a pas encore d’identifiant CVE.

Dans une analyse de la vulnérabilité, le cryptographe Filippo Valsorda a suggéré que le bug était causé par des problèmes de sécurité mémoire du langage C et pourrait être lié aux efforts de défense contre des attaques de canal auxiliaire.

Les utilisateurs qui ont mis à niveau vers la version 1.9.0 de libgcrypt sont invités à télécharger la version corrigée le plus rapidement possible. « L’exploitation de ce bug est simple et donc une action immédiate pour les utilisateurs de la version 1.9.0 est nécessaire », expliquent les développeurs.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: