Importante vulnérabilité dans la bibliothèque Libgcrypt, la mise à jour recommandée
Le 01 février 2021 à 09h19
2 min
Logiciel
Logiciel
La bibliothèque cryptographique est notamment utilisée dans GnuPG pour le chiffrement des données. Une faille sérieuse y a été découverte par Tavis Ormandy de l’équipe Project Zero de Google.
La faille est de type dépassement du tas (heap overflow), ou plus précisément un dépassement de mémoire tampon dans le tas, c’est-à-dire la zone de mémoire dynamique allouée à un programme pour son exécution.
Cette brèche n’existe que dans la version 1.9.0 de la bibliothèque. Selon GnuPG, elle serait apparue dans son développement il y a deux ans. L’équipe a très vite réglé le problème et propose depuis une mouture 1.9.1.
L’auteur de la bibliothèque, Werner Koch, note de son côté : « Exploiter ce bug est simple et une action immédiate pour les utilisateurs de la 1.9.0 est donc requise. Les tarballs de la 1.9.0 sur notre serveur FTP ont été renommés pour que les scripts ne puissent plus viser cette version ».
On l’aura compris, les utilisateurs sont invités à récupérer la mouture 1.9.1 aussi rapidement que possible.
Le 01 février 2021 à 09h19
Commentaires (2)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 01/02/2021 à 19h06
Enfin bon il serait intéressant de voit les librairies faisant des outils de sécurité basculé sur des language qui sont imunisé au dépassement de mémoire :/
Le 02/02/2021 à 07h57
ça va Debian Stable n’a que la 1.8.4-5 donc pas concerné!
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?