Vigil@nce - GnuPG : déni de service via I/O Filter
octobre 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer une récursion infinie dans I/O Filter
de GnuPG, afin de mener un déni de service.
Produits concernés : Debian, Fedora, GnuPG, MBS, MES, openSUSE,
Slackware
Gravité : 2/4
Date création : 07/10/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Le format OpenPGP utilise des paquets qui peuvent être compressés.
GnuPG utilise des buffers d’entrée/sortie, avec des filtres
permettant de décompresser les données à la volée. Cependant, la
fonction iobuf_push_filter2() du fichier util/iobuf.c ne limite
pas le nombre de filtres pouvant être ouverts.
Un attaquant peut donc provoquer une récursion infinie dans I/O
Filter de GnuPG, afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/GnuPG-deni-de-service-via-I-O-Filter-13527