Vulnerabilidad en generación de claves RSA en GnuPG (CVE-2013-4576)
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-255
Gestión de credenciales
Fecha de publicación:
20/12/2013
Última modificación:
11/04/2025
Descripción
GnuPG 1.x anteriores a 1.4.16 genera claves RSA utilizando secuencias de introducciones con ciertos patrones que introducen un ataque de canal lateral, lo cual permite a atacantes físicamente próximos extraer claves RSA a través de un ataque de texto cifrado elegido y criptoanálisis acústico durante el descifrado. NOTA: normalmente no se espera de las aplicaciones que se protejan ante ataques laterales acústicos, dado que esto es responsabilidad del dispositivo físico. De esta manera, problemas de este tipo no recibirán normalmente un identificador CVE. En cualquier caso, para este problema, el desarrollador a especificado una política de seguridad en la cual GnuPG debería ofrecer resistencia ante cnales laterales, y violaciones de políticas de seguridad específicas para los desarrolladores están dentro del ámbito de CVE.
Impacto
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnupg:gnupg:*:*:*:*:*:*:*:* | 1.4.15 (incluyendo) | |
| cpe:2.3:a:gnupg:gnupg:1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.4:-:win32:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.5:-:win32:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.2.1:windows:*:*:*:*:*:* | ||
| cpe:2.3:a:gnupg:gnupg:1.2.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.gnupg.org/pipermail/gnupg-devel/2013-December/028102.html
- http://osvdb.org/101170
- http://rhn.redhat.com/errata/RHSA-2014-0016.html
- http://seclists.org/oss-sec/2013/q4/520
- http://seclists.org/oss-sec/2013/q4/523
- http://www.cs.tau.ac.il/~tromer/acoustic/
- http://www.debian.org/security/2013/dsa-2821
- http://www.securityfocus.com/bid/64424
- http://www.securitytracker.com/id/1029513
- http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf
- http://www.ubuntu.com/usn/USN-2059-1
- https://exchange.xforce.ibmcloud.com/vulnerabilities/89846
- http://lists.gnupg.org/pipermail/gnupg-devel/2013-December/028102.html
- http://osvdb.org/101170
- http://rhn.redhat.com/errata/RHSA-2014-0016.html
- http://seclists.org/oss-sec/2013/q4/520
- http://seclists.org/oss-sec/2013/q4/523
- http://www.cs.tau.ac.il/~tromer/acoustic/
- http://www.debian.org/security/2013/dsa-2821
- http://www.securityfocus.com/bid/64424
- http://www.securitytracker.com/id/1029513
- http://www.tau.ac.il/~tromer/papers/acoustic-20131218.pdf
- http://www.ubuntu.com/usn/USN-2059-1
- https://exchange.xforce.ibmcloud.com/vulnerabilities/89846