Libgcrypt 1.7.8 bouche une faille permettant de récupérer une clé RSA sur 1024 bits

L'été sera chaud !
Internet 2 min
Libgcrypt 1.7.8 bouche une faille permettant de récupérer une clé RSA sur 1024 bits
Crédits : Warchi/iStock

Libgcrypt est victime d'une faille de sécurité qui permet de récupérer une clé de chiffrement RSA sur 1024 bits, et laisse entrevoir une attaque similaire sur 2048 bits. Une mise à jour est disponible, reste maintenant à ce qu'elle soit implémentée par les systèmes utilisant cette bibliothèque.

Une mise à jour importante a été publiée pour la bibliothèque de cryptographie Libgcrypt. Portant le numéro de version 1.7.8, elle permet de combler la faille identifiée CVE-2017-7526.

Une faille pour RSA-1024, qui pourrait toucher RSA-2048

Elle est importante puisque l'équipe de Debian explique que les chercheurs ont « découvert que Libgcrypt est prédisposé à une attaque par canal auxiliaire locale permettant une récupération complète de clé pour le chiffrement RSA-1024 ». Les chercheurs précisent également que cette attaque pourrait fonctionner sur des clés RSA sur 2048 bits avec une puissance de calcul « modérément plus importante ».

Précisons tout de même que son exploitation nécessite d'avoir accès à la machine et pouvoir y exécuter des logiciels de manière arbitraire. Détail important cependant, dans le cas d'un ordinateur exécutant plusieurs machines virtuelles, « cette attaque peut être utilisée par une VM pour récupérer des clés privées d'une autre VM », ce qui peut être un problème dans le cadre de serveurs par exemple. Tous les détails techniques sont disponibles dans ce document.

Des mises à jour disponibles pour Debian et Ubuntu

Une faille de sécurité dont la portée est augmentée par la très large utilisation de Libgcrypt dans de nombreuses distributions, y compris dans des systèmes propriétaires comme des NAS. Comme toujours, il est recommandé de se mettre à jour dès que possible.

Certaines distributions Linux ont d'ores et déjà déployé des correctifs, c'est notamment le cas de Debian et d'Ubuntu. De son côté Red Hat explique qu'il mène des investigations afin de vérifier ce qu'il en est pour Red Hat Entreprise Linux 5 à 7. D'autres arriveront certainement dans les jours qui viennent.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !