Vulnérabilité dans la librairie de cryptographie libgcrypt
Date de publication :
CVE-2021-33560 [Score CVSS v3 : 7.5]
Libgcrypt ne gère pas correctement le chiffrement ElGamal car il ne dispose pas de l'aveuglement de l'exposant pour répondre à une attaque par canal latéral contre les processus issues de la fonction mpi_powm. La taille de la fenêtre n'est également pas choisie de manière appropriée. Il y a également un problème d'interopérabilité car la sélection de la valeur entière k ne prend pas correctement en compte les différences entre le chiffrement ElGamal de base et le chiffrement ElGamal généralisé. Ceci, par exemple, affecte l'utilisation d'ElGamal dans OpenPGP. Son exploitation peut permettre à un attaquant distant et non authentifié d’accéder à des informations sensibles chiffrées avec l’implémentation libgcrypt de l’algorithme ElGamal.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exposition d’information sensible
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions de libgcrypt suivantes sont impactées par cette vulnérabilité :
- Antérieure à la version 1.8.8
- De 1.9.0 à 1.9.3
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour libgcrypt vers une des versions suivantes :
- 1.8.8
- 1.9.3
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.