Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is laag Schadeniveau is gemiddeld NCSC-2016-0755 [1.06]

Kwetsbaarheid in GnuPG en Libgcrypt verholpen

04-10-2016 - Er bevindt zich een kwetsbaarheid in GnuPG en Libgcrypt.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.06 #############################

Titel           : Kwetsbaarheid in GnuPG en Libgcrypt verholpen
Advisory ID     : NCSC-2016-0755
Versie          : 1.06
Kans            : low
CVE ID          : CVE-2016-6313
                  (http://cve.mitre.org/cve/)
Schade          : medium
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20161004
Toepassing      : GnuPG (Privacy Guard)
                  GnuPG Libgcrypt
Versie(s)       : 
Platform(s)     : Debian
                  Fedora
                  FreeBSD
                  Linux
                  OpenSUSE 
                  Ubuntu
                  

Update
   OpenSUSE heeft updates uitgebracht om de kwetsbaarheid te verhelpen.
   Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Er bevindt zich een kwetsbaarheid in GnuPG en Libgcrypt.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheid mogelijk misbruiken voor het
   verkrijgen van informatie van het systeem.

Beschrijving
   - CVE-2016-6313
   Er bevindt zich een kwetsbaarheid in de mixing-functies van de
   random-number-generator (RNG) van Libgcrypt. Een kwaadwillende die
   4640 bits van de RNG kan bemachtigen kan de volgende 160 bits
   voorspellen. De ontwikkelaars van Libgcrypt hebben aangegeven dat
   het onwaarschijnlijk is dat een PGP private-key voorspeld kan worden
   op basis van publieke informatie.

Mogelijke oplossingen
   De ontwikkelaars van GnuPG en Libgcrypt hebben updates uitgebracht
   die de kwetsbaarheid verhelpen. Zie voor meer informatie:
   
   https://lists.gnupg.org/pipermail/gnupg-announce/2016q3/000395.html
   
   -= Debian =-
   Debian heeft updates van gnupg en libgcrypt20 beschikbaar gesteld
   voor Debian 8.0 (Jessie) om de kwetsbaarheid te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   gnupg:
   https://www.debian.org/security/2016/dsa-3649
   
   libgcrypt20:
   https://www.debian.org/security/2016/dsa-3650
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 23 en 24. U
   kunt deze updates installeren met behulp van het commando 'dnf' of
   'yum'. Meer informatie over deze updates en over een eventueel
   handmatige installatie vindt u op:
   
   gnupg:
   https://bodhi.fedoraproject.org/updates/FEDORA-2016-9864953aa3
   
   Fedora 24 libgcrypt:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /T52KYHBE4RSABISTV64JXDGFVH5IB77L/
   
   Fedora 23 libgcrypt:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/thread
      /6GUKHKI36S47OWTX6VCPNGTCY3LPYQ5M/
   
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheid te
   verhelpen in gnupg1 en libgcrypt. U kunt deze updates installeren
   via freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /e1c71d8d-64d9-11e6-b38a-25a46b33f2ed.html
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheid te verhelpen in OpenSUSE 13.2 en OpenSUSE Leap
   42.1. U kunt deze aangepaste packages installeren door gebruik te
   maken van 'zypper'. U kunt ook gebruik maken van YAST of de updates
   handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor
   meer informatie, zie:
   
   OpenSUSE 13.2:
   https://lists.opensuse.org/opensuse-updates/2016-08/msg00126.html
   
   OpenSUSE Leap 42.1:
   https://lists.opensuse.org/opensuse-updates/2016-09/msg00108.html
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS,
   14.04 LTS en 16.04 LTS om de kwetsbaarheid te verhelpen. U kunt de
   aangepaste packages installeren door gebruik te maken van 'apt-get
   update' en 'apt-get upgrade'. Meer informatie kunt u vinden op
   onderstaande pagina:
   
   http://www.ubuntu.com/usn/usn-3064-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=nJdA
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017