GnuPG 2.4.0 のリリース【セキュリティ・アップデートを含む】
入院中だったためリアクションが遅れたけど GnuPG 2.4.0 がリリースされた。 そして,25周年おめでとう!
そういえば昨年は030周年だったな(笑)
2.4 系がリリースされたことで,今後は 2.4 系が最新 stable 版としてメンテナンスされていく。 LTS 版である 2.2 系は 2.4 系の不具合や脆弱性の修正のみバックポートされることになるだろう。
Version 2.2 is our LTS (long term support) version and guaranteed to be maintained at least until the end of 2024. Only a small subset of features from 2.4 has been back-ported to this series.
そして,このバージョンから
The key database daemon is now a fully supported feature. Keys are stored in a SQLite database to make key lookups much faster. Enable it by adding"use-keyboxd"ocommon.conf. See also theREADMEfile.
となるそうだ。 うーん,試す環境がない。 Ubuntu は 2.2 系のまま突き進むのかなぁ。
CVE-2022-3515 GnuPG / Libksba Security Advisory
今回のリリースには Libksba のセキュリティ・アップデートを含んでいる。
これによると
A severe bug has been found in [Libksba] , the library used by GnuPG for parsing the ASN.1 structures as used by S/MIME. The bug affects all versions of [Libksba] before 1.6.2 and may be used for remote code execution.
だそうだ。 結構ヤバい。 “Updating this library is thus important.” とあるので早めのアップデートを。
Libksba のバージョンを確認するには
$ gpgconf --show-versions | grep KSBA
とすればいいらしい。 これで
* KSBA 1.6.3 (xxxxx)
てな風になっていれば OK かな。
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H- 深刻度: 緊急 (Score: 9.8)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 不要 |
| スコープ | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
GnuPG 関連パッケージ
GnuPG 関連の各パッケージのバージョンは以下の通り(数字は大体のビルド順)。
| # | パッケージ名 | バージョン | 公開日 | 更新 |
|---|---|---|---|---|
| 1 | Libgpg-error | 1.46 | 2022-10-07 | |
| 2 | Libgcrypt | 1.8.9 (LTS) | 2022-02-07 | |
| Libgcrypt | 1.10.1 | 2022-03-28 | ||
| 3 | Libassuan | 2.5.5 | 2021-03-22 | |
| 4 | Libksba | 1.6.3 | 2022-12-06 | |
| 5 | nPth | 1.6 | 2018-07-16 | |
| 6 | ntbTLS | 0.3.1 | 2022-04-07 | |
| 7 | GnuPG | 2.2.41 (LTS) | 2022-12-09 | |
| GnuPG | 2.4.0 | 2022-12-16 |
現在 GnuPG には 2.2 系と 2.4 系があり1, 2.4 系では AEAD (Authenticated Encryption with Associated Data) 等 RFC 4880bis で検討されている機能が実装されている。 2.2 系は 2.4 系のサブセットという位置づけで,少なくとも2024年末まではサポートが続けられる予定である。
そうそう。 Windows 版 pinentry の文字化けを解消した改良版を公開されている方がいる。ありがたや。
アップデートは計画的に。
ブックマーク
参考図書
- 暗号化 プライバシーを救った反乱者たち
- スティーブン・レビー (著), 斉藤 隆央 (翻訳)
- 紀伊國屋書店 2002-02-16
- 単行本
- 4314009071 (ASIN), 9784314009072 (EAN), 4314009071 (ISBN)
- 評価
20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!
- 暗号技術入門 第3版 秘密の国のアリス
- 結城 浩 (著)
- SBクリエイティブ 2015-08-25 (Release 2015-09-17)
- Kindle版
- B015643CPE (ASIN)
- 評価
SHA-3 や Bitcoin/Blockchain など新しい知見や技術要素を大幅追加。暗号技術を使うだけならこれ1冊でとりあえず無問題。
-
厳密には1.4系もあるが,これは legacy 版と位置付けられており,よほどのバグか脆弱性がない限りは更新されない。もし今だに1.4系(あるいは既にサポートされていない2.0/2.1系)を使っているのなら2.2系以降にアップグレードすることを強くお勧めする。 ↩︎