安定版 GnuPG ver.1.4.2.2 リリース
9日付で、安定版 GnuPG の ver.1.4.2.2 がリリースされています。
今回のリリースはセキュリティフィックスで、ソースコードと Windows 版バイナリが同時にリリースされています。
GnuPG Announce メーリングリストに流れたアナウンスによると、
Signature verification of non-detached signatures may give a positive result but when extracting the signed data, this data may be prepended or appended with extra data not covered by the signature. Thus it is possible for an attacker to take any signed message and inject extra arbitrary data.
Detached signatures (a separate signature file) are not affected.
今回発見された脆弱性は、分離署名ではない署名の検証処理に起因するもので、署名されたメッセージの中に攻撃者が余分な任意のデータを注入できてしまうとのこと。
1.4.2.2 よりも前の全てのバージョンにこの脆弱性が存在するということで、早急なバージョンアップが推奨されています。
