PT-2021-6020 · Libgcrypt+9 · Libgcrypt+9

Alessandro Sorniotti

+2

·

Publicado

2021-06-24

·

Atualizado

2025-06-11

·

CVE-2021-40528

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões da Libgcrypt anteriores à 1.9.4
Descrição
O problema está relacionado ao uso de um algoritmo criptográfico fraco na biblioteca Libgcrypt. Ele afeta a implementação do ElGamal, permitindo a recuperação do texto simples devido a uma combinação perigosa entre o número primo definido pela chave pública do destinatário, o gerador definido pela chave pública do destinatário e os expoentes efêmeros do remetente. Isso pode levar a um ataque de configuração cruzada contra o OpenPGP.
Recomendações
Para versões do Libgcrypt anteriores à 1.9.4, atualize para a versão 1.9.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da implementação ElGamal até que um patch esteja disponível.

Exploit

Correção

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-327

Identificadores relacionados

ALSA-2022:5311
ALT-PU-2021-3312
ALT-PU-2024-11176
ALT-PU-2024-8930
ALT-PU-2025-7372
BDU:2022-00593
CESA-2022_5311
CVE-2021-40528
DLA-2691-1
MGASA-2021-0446
OESA-2021-1362
OPENSUSE-SU-2024:12540-1
RHSA-2022:5311
RHSA-2022_5311
RLSA-2022:5311
USN-5080-1
USN-5080-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Libgcrypt
Linuxmint
Red Hat
Red Os
Rocky Linux
Ubuntu