GnuPG 2.2.23 のリリース【セキュリティ・アップデート】

no extension

GnuPG 2.2.23 がリリースされた。

詳細はこちら。

  • gpg: Fix AEAD preference list overflow. [#5050]
  • gpg: Fix a possible segv in the key cleaning code.
  • gpgsm: Fix a minor RFC2253 parser bug. [#5037]
  • scdaemon: Fix a PIN verify failure on certain OpenPGP card implementations. Regression in 2.2.22. [#5039]
  • po: Fix bug in the Hungarian translation. Updates for the Czech, Polish, and Ukrainian translations.

Release-info: https://dev.gnupg.org/T5045

via GnuPG 2.2.23 released

今回は,以下の脆弱性の改修を含んでいる。

CVE-2020-25125

Importing an OpenPGP key having a preference list for AEAD algorithms will lead to an array overflow and thus often to a crash or other undefined behaviour.
via GnuPG 2.2.23 released

ちなみに 2.2.20 以下のバージョンには影響しない。

AEAD (Authenticated Encryption with Associated Data; 認証付き暗号) は次期 OpenPGP (RFC 4880bis) で導入予定の暗号モードで,先行して GnuPG に組み込まれている。 インパクトも可用性リスクのみと思われる。 後述するが,結構インパクトが大きかった。

なので,殆どの人には影響はないと思うが,実験的に最新 GnuPG を試しておられる人はご注意を。 また,知らない人の鍵はインポートしないように(笑)

  • CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  • 深刻度: 重要 (Score: 7.8)
基本評価基準 評価値
攻撃元区分 ローカル
攻撃条件の複雑さ
必要な特権レベル 不要
ユーザ関与レベル
スコープ 変更なし
機密性への影響
完全性への影響
可用性への影響

アップデートは…

アップデートは計画的に。

ブックマーク

参考図書

photo
暗号化 プライバシーを救った反乱者たち
スティーブン・レビー (著), 斉藤 隆央 (翻訳)
紀伊國屋書店 2002-02-16
単行本
4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
評価     

20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!

reviewed by Spiegel on 2015-03-09 (powered by PA-APIv5)

photo
暗号技術入門 第3版 秘密の国のアリス
結城 浩 (著)
SBクリエイティブ 2015-08-25 (Release 2015-09-17)
Kindle版
B015643CPE (ASIN)
評価     

SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。

reviewed by Spiegel on 2015-09-20 (powered by PA-APIv5)