Libgcrypt est victime d'une faille de sécurité qui permet de récupérer une clé de chiffrement RSA sur 1024 bits, et laisse entrevoir une attaque similaire sur 2048 bits. Une mise à jour est disponible, reste maintenant à ce qu'elle soit implémentée par les systèmes utilisant cette bibliothèque.
Une mise à jour importante a été publiée pour la bibliothèque de cryptographie Libgcrypt. Portant le numéro de version 1.7.8, elle permet de combler la faille identifiée CVE-2017-7526.
Une faille pour RSA-1024, qui pourrait toucher RSA-2048
Elle est importante puisque l'équipe de Debian explique que les chercheurs ont « découvert que Libgcrypt est prédisposé à une attaque par canal auxiliaire locale permettant une récupération complète de clé pour le chiffrement RSA-1024 ». Les chercheurs précisent également que cette attaque pourrait fonctionner sur des clés RSA sur 2048 bits avec une puissance de calcul « modérément plus importante ».
Précisons tout de même que son exploitation nécessite d'avoir accès à la machine et pouvoir y exécuter des logiciels de manière arbitraire. Détail important cependant, dans le cas d'un ordinateur exécutant plusieurs machines virtuelles, « cette attaque peut être utilisée par une VM pour récupérer des clés privées d'une autre VM », ce qui peut être un problème dans le cadre de serveurs par exemple. Tous les détails techniques sont disponibles dans ce document.
Des mises à jour disponibles pour Debian et Ubuntu
Une faille de sécurité dont la portée est augmentée par la très large utilisation de Libgcrypt dans de nombreuses distributions, y compris dans des systèmes propriétaires comme des NAS. Comme toujours, il est recommandé de se mettre à jour dès que possible.
Certaines distributions Linux ont d'ores et déjà déployé des correctifs, c'est notamment le cas de Debian et d'Ubuntu. De son côté Red Hat explique qu'il mène des investigations afin de vérifier ce qu'il en est pour Red Hat Entreprise Linux 5 à 7. D'autres arriveront certainement dans les jours qui viennent.
