NVD Vulnerability Detail

CVE-2013-4351

Summary	GnuPG 1.4.x, 2.0.x, and 2.1.x treats a key flags subpacket with all bits cleared (no usage permitted) as if it has all bits set (all usage permitted), which might allow remote attackers to bypass intended cryptographic protection mechanisms by leveraging the subkey.
Publication Date	Oct. 10, 2013, 9:55 a.m.
Registration Date	Jan. 26, 2021, 3:43 p.m.
Last Update	Nov. 21, 2024, 10:55 a.m.

Affected software configurations

Configuration3		or higher	or less	more than	less than
cpe:2.3:a:gnupg:gnupg:2.1.0:beta1::::::

Related information, measures and tools

No	URL	refsource	タグ
1	http://lists.opensuse.org/opensuse-updates/2013-10/msg00003.html
2	http://lists.opensuse.org/opensuse-updates/2013-10/msg00003.html
3	http://lists.opensuse.org/opensuse-updates/2013-10/msg00006.html
4	http://lists.opensuse.org/opensuse-updates/2013-10/msg00006.html
5	http://rhn.redhat.com/errata/RHSA-2013-1459.html
6	http://rhn.redhat.com/errata/RHSA-2013-1459.html
7	http://thread.gmane.org/gmane.comp.encryption.gpg.devel/17712/focus=18138
8	http://thread.gmane.org/gmane.comp.encryption.gpg.devel/17712/focus=18138
9	http://ubuntu.com/usn/usn-1987-1
10	http://ubuntu.com/usn/usn-1987-1
11	http://www.debian.org/security/2013/dsa-2773
12	http://www.debian.org/security/2013/dsa-2773
13	http://www.debian.org/security/2013/dsa-2774
14	http://www.debian.org/security/2013/dsa-2774
15	http://www.openwall.com/lists/oss-security/2013/09/13/4
16	http://www.openwall.com/lists/oss-security/2013/09/13/4
17	https://bugzilla.redhat.com/show_bug.cgi?id=1010137
18	https://bugzilla.redhat.com/show_bug.cgi?id=1010137

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-310	暗号の問題	https://cwe.mitre.org/data/definitions/310.html

JVN Vulnerability Information

GnuPG における暗号保護メカニズムを回避される脆弱性

Title	GnuPG における暗号保護メカニズムを回避される脆弱性
Summary	GnuPG は、key flags サブパケットのすべてのビットがクリアされている (すべての使用が許可されていない) 状態を、すべてのビットがセットされている (すべての使用が許可されている) 状態として扱うため、暗号保護メカニズムを回避される脆弱性が存在します。
Possible impacts	第三者により、サブキーを利用されることで、暗号保護メカニズムを回避される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 6, 2013, midnight
Registration Date	Oct. 11, 2013, 6:54 p.m.
Last Update	Aug. 11, 2014, 5:28 p.m.

Affected System

GNU Project

GnuPG 1.4.x

GnuPG 2.0.x

GnuPG 2.1.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-4351	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4351
National Vulnerability Database (NVD)
2	CVE-2013-4351	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4351

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-310	https://jvndb.jvn.jp/ja/cwe/CWE-310.html

ベンダー情報

No	Name	URL
Debian Security Advisory
1	DSA-2773	http://www.debian.org/security/2013/dsa-2773
2	DSA-2774	http://www.debian.org/security/2013/dsa-2774
opensuse-updates
3	openSUSE-SU-2013:1526	http://lists.opensuse.org/opensuse-updates/2013-10/msg00003.html
4	openSUSE-SU-2013:1532	http://lists.opensuse.org/opensuse-updates/2013-10/msg00006.html
Red Hat Bugzilla
5	Bug 1010137	https://bugzilla.redhat.com/show_bug.cgi?id=1010137
Red Hat Security Advisory
6	RHSA-2013:1459	http://rhn.redhat.com/errata/RHSA-2013-1459.html
SECURITY BLOG
7	(CVE-2013-4351 Cryptographic Issues vulnerability in GnuPG	https://blogs.oracle.com/sunsecurity/entry/cve_2013_4351_cryptographic_issues
Ubuntu Security Notice
8	USN-1987-1	http://www.ubuntu.com/usn/usn-1987-1/

その他

No	Name	URL
関連文書
1	Re: subkey binding signature with no usage flags and/or a critical notation	http://thread.gmane.org/gmane.comp.encryption.gpg.devel/17712/focus=18138

Change Log

No	Changed Details	Date of change
0	[2013年10月11日] 掲載 [2013年12月26日] ベンダ情報：Debian (DSA-2773) を追加ベンダ情報：Debian (DSA-2774) を追加 [2014年02月18日] ベンダ情報：レッドハット (RHSA-2013:1459) を追加 [2014年08月11日] ベンダ情報：オラクル (CVE-2013-4351 Cryptographic Issues vulnerability in GnuPG) を追加	Feb. 17, 2018, 10:37 a.m.