GnuPG 2.3.8 のリリース【セキュリティ・アップデート】
毎度遅まきながらで申し訳ないが GnuPG 2.3.8 がリリースされている。
今回は1件の脆弱性修正を含んでいる。
CVE-2022-3515
A severe bug has been found in [Libksba] , the library used by GnuPG for parsing the ASN.1 structures as used by S/MIME. The bug affects all versions of [Libksba] before 1.6.2 and may be used for remote code execution.
The major user of Libksba is /gpgsm/, the S/MIME cousin of /gpg/. There it is used to parse all kind of input data, in particular signed or encrypted data in files or in mails. Feeding a user with malicious data can thus be easily achieved.
A second user of Libksba is /dirmngr/, which is responsible for loading and parsing Certificate Revocation Lists (CRLs) and for verifying certificates used by TLS (i.e. https connections). Mounting an attack is a bit more complex but can anyway be easily done using a rogue web server to serve a Web Key Directory, certificates, or CRLs.
An exploit is not yet publicly known but very straightforward to create for experienced crooks.
今回の脆弱性について GnuPG 側は以下のように見積もっている。
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H- 深刻度: 重要 (Score: 8.1)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 高 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
GnuPG 関連パッケージ
GnuPG 関連の各パッケージのバージョンは以下の通り(数字は大体のビルド順)。
| # | パッケージ名 | バージョン | 公開日 | 更新 |
|---|---|---|---|---|
| 1 | Libgpg-error | 1.45 | 2022-10-07 | |
| 2 | Libgcrypt | 1.8.9 (LTS) | 2022-02-07 | |
| Libgcrypt | 1.10.1 | 2022-03-28 | ||
| 3 | Libassuan | 2.5.5 | 2021-03-22 | |
| 4 | Libksba | 1.6.2 | 2021-10-07 | |
| 5 | nPth | 1.6 | 2018-07-16 | |
| 6 | ntbTLS | 0.3.1 | 2022-04-07 | |
| 7 | GnuPG | 2.2.40 (LTS) | 2022-10-10 | |
| GnuPG | 2.3.8 | 2022-10-13 |
現在 GnuPG には2.2系と2.3系があり1,2.2系は LTS 版に位置付けられている。 2.3系では AEAD (Authenticated Encryption with Associated Data) 等 RFC 4880bis で検討されている機能が実装されているので,最新機能を試したいのであればこちらを入れるとよいだろう。 なお2.2系は少なくとも2024年末まではサポートが続けられる予定である。 通常運用であれば,当面は2.2系でも問題ない(ECC も対応してるよ)。
アップデートは計画的に。
ブックマーク
参考図書
- 暗号化 プライバシーを救った反乱者たち
- スティーブン・レビー (著), 斉藤 隆央 (翻訳)
- 紀伊國屋書店 2002-02-16
- 単行本
- 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
- 評価
20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!
- 暗号技術入門 第3版 秘密の国のアリス
- 結城 浩 (著)
- SBクリエイティブ 2015-08-25 (Release 2015-09-17)
- Kindle版
- B015643CPE (ASIN)
- 評価
SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。
-
厳密には1.4系もあるが,これは legacy 版と位置付けられており,よほどのバグか脆弱性がない限りは更新されない。もし今だに1.4系(あるいは既にサポートされていない2.0/2.1系)を使っているのなら2.2系以降にアップグレードすることを強くお勧めする。 ↩︎