Connexion
Abonnez-vous

Importante vulnérabilité dans la bibliothèque Libgcrypt, la mise à jour recommandée

Importante vulnérabilité dans la bibliothèque Libgcrypt, la mise à jour recommandée

Le 01 février 2021 à 09h19

La bibliothèque cryptographique est notamment utilisée dans GnuPG pour le chiffrement des données. Une faille sérieuse y a été découverte par Tavis Ormandy de l’équipe Project Zero de Google.

La faille est de type dépassement du tas (heap overflow), ou plus précisément un dépassement de mémoire tampon dans le tas, c’est-à-dire la zone de mémoire dynamique allouée à un programme pour son exécution.

Cette brèche n’existe que dans la version 1.9.0 de la bibliothèque. Selon GnuPG, elle serait apparue dans son développement il y a deux ans. L’équipe a très vite réglé le problème et propose depuis une mouture 1.9.1.

L’auteur de la bibliothèque, Werner Koch, note de son côté : « Exploiter ce bug est simple et une action immédiate pour les utilisateurs de la 1.9.0 est donc requise. Les tarballs de la 1.9.0 sur notre serveur FTP ont été renommés pour que les scripts ne puissent plus viser cette version ».

On l’aura compris, les utilisateurs sont invités à récupérer la mouture 1.9.1 aussi rapidement que possible.

Le 01 février 2021 à 09h19

Commentaires (2)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Enfin bon il serait intéressant de voit les librairies faisant des outils de sécurité basculé sur des language qui sont imunisé au dépassement de mémoire :/

votre avatar

ça va Debian Stable n’a que la 1.8.4-5 donc pas concerné! :D

Importante vulnérabilité dans la bibliothèque Libgcrypt, la mise à jour recommandée

Fermer