Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2017-0598 [1.01]

Kwetsbaarheid verholpen in Libgcrypt

04-07-2017 - Er is een side-channelkwetsbaarheid verholpen in Libgcrypt.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheid verholpen in Libgcrypt
Advisory ID     : NCSC-2017-0598
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2017-7526
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20170704
Toepassing      : GnuPG Libgcrypt
Versie(s)       : <1.7.8
Platform(s)     : Debian
                  Fedora
                  Ubuntu

Update
   Fedora en Ubuntu hebben updates uitgebracht om de kwetsbaarheid te
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   Er is een side-channelkwetsbaarheid verholpen in Libgcrypt.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheid misbruiken voor het
   verkrijgen van gevoelige informatie.

Beschrijving
   - CVE-2017-7526
   Er bevindt zich een side-channelkwetsbaarheid in libgcrypt. Een
   kwaadwillende kan de kwetsbaarheid benutten om RSA-sleutels te
   reconstrueren en daarmee gevoelige informatie verkrijgen.
   
   Een voorwaarde bij deze kwetsbaarheid is dat een kwaadwillende de
   aanval op dezelfde hardware moet uitvoeren waarop tevens de private
   RSA-sleutel wordt gebruikt. Op servers met virtuele machines kan
   deze aanval gebruikt worden om van een machine de sleutel te
   bemachtigen van een andere machine. Het NCSC heeft de factsheet
   "Virtualiseer met verstand" over specifieke risico's die ontstaan
   wanneer u virtuele servers gebruikt om ICT-diensten uit te besteden:
   
   [1]
   https://www.ncsc.nl/actueel/factsheets
      /factsheet-virtualiseer-met-verstand.html

Mogelijke oplossingen
   De ontwikkelaars van GnuPG en Libgcrypt hebben updates uitgebracht
   die de kwetsbaarheid verhelpen. Zie voor meer informatie:
   
   https://lists.gnupg.org/pipermail/gnupg-announce/2017q2/000408.html
   
   -= Debian =-
   Debian heeft updates van libgcrypt20 beschikbaar gesteld voor Debian
   8.0 (Jessie) en Debian 9.0 (Stretch) om de kwetsbaarheden te
   verhelpen. U kunt de aangepaste packages installeren door gebruik te
   maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie
   kunt u vinden op onderstaande pagina:
   
   https://www.debian.org/security/2017/dsa-3901
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 25. U kunt deze
   updates installeren met behulp van het commando 'dnf' of 'yum'. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /XBH2YFHL7DVECJ5FL7MSNYYJ25NA2OH5/
   
   -= Ubuntu =-
   Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 14.04 LTS,
   16.04 LTS, 16.10 en 17.04 om de kwetsbaarheid te verhelpen. U kunt
   de aangepaste packages installeren door gebruik te maken van
   'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden
   op onderstaande pagina:
   
   https://www.ubuntu.com/usn/usn-3347-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=9fsj
-----END PGP SIGNATURE-----

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017