PT-2021-7065 · Libgcrypt+10 · Libgcrypt+10

Girlelecta

·

Publicado

2021-06-08

·

Atualizado

2025-12-03

·

CVE-2021-33560

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Libgcrypt versões 1.8.7 e anteriores
Libgcrypt versões 1.9.x anteriores à 1.9.3
Descrição
O problema está relacionado ao tratamento incorreto da criptografia ElGamal devido à ausência de ocultação do expoente, tornando-a vulnerável a um ataque de canal lateral contra mpi powm. O tamanho da janela também não foi escolhido adequadamente. Isso afeta o uso do ElGamal no OpenPGP. A vulnerabilidade está associada ao uso de um algoritmo criptográfico fraco, o que pode permitir que um invasor remoto acesse informações confidenciais.
Recomendações
Para as versões 1.8.7 e anteriores do Libgcrypt, atualize para a versão 1.8.8 ou posterior.
Para as versões 1.9.x do Libgcrypt anteriores à 1.9.3, atualize para a versão 1.9.3 ou posterior.
Como solução temporária, considere desativar o uso da criptografia ElGamal até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.

Exploit

Correção

Side Channel Attack

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-203CWE-325

Identificadores relacionados

ALSA-2021:4409
ALSA-2021_4409
ALT-PU-2021-2043
ALT-PU-2025-7372
BDU:2022-03136
CESA-2021_4409
CVE-2021-33560
DLA-2691-1
MGASA-2021-0294
OESA-2021-1243
OPENSUSE-SU-2021:0919-1
OPENSUSE-SU-2021:2157-1
OPENSUSE-SU-2021_0919-1
OPENSUSE-SU-2021_2157-1
OPENSUSE-SU-2024:10941-1
RHSA-2021:4409
RHSA-2021_4409
RLSA-2021:4409
SUSE-SU-2021:14751-1
SUSE-SU-2021:2155-1
SUSE-SU-2021:2156-1
SUSE-SU-2021:2157-1
SUSE-SU-2021_14751-1
SUSE-SU-2021_2155-1
SUSE-SU-2021_2156-1
SUSE-SU-2021_2157-1
USN-5080-1
USN-5080-2

Produtos afetados

Alt Linux
Almalinux
Centos
Debian
Libgcrypt
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu