« 2006年02月 | メイン | 2006年04月 »
10日付で GnuPG の ver.1.4.3 RC 2 がリリースされています。
特に問題がなければ、これが次期安定版の ver.1.4.3 としてリリースされることになります。
なお、今回のリリースでは、ソースコードのみのリリースとなっています。 (Windows 版バイナリはリリースされていません。)
また、今回の RC 2 では、先日リリースされた
の修正が含まれています。 RC 1 をお使いの方は、バージョンアップをお忘れなく。
9日付で、安定版 GnuPG の ver.1.4.2.2 がリリースされています。
今回のリリースはセキュリティフィックスで、ソースコードと Windows 版バイナリが同時にリリースされています。
GnuPG Announce メーリングリストに流れたアナウンスによると、
Signature verification of non-detached signatures may give a positive result but when extracting the signed data, this data may be prepended or appended with extra data not covered by the signature. Thus it is possible for an attacker to take any signed message and inject extra arbitrary data.
Detached signatures (a separate signature file) are not affected.
今回発見された脆弱性は、分離署名ではない署名の検証処理に起因するもので、署名されたメッセージの中に攻撃者が余分な任意のデータを注入できてしまうとのこと。
1.4.2.2 よりも前の全てのバージョンにこの脆弱性が存在するということで、早急なバージョンアップが推奨されています。
