« 2006年05月 | メイン | 2006年07月 »
26日付で gpg4win の ver.1.0.3 がリリースされています。
例によって、収録パッケージのうち、いくつかのものが新しいものに差し替えられています。
なお、リリースアナウンスによると、今回のバージョンには GnuPG と Sylpheed-Claws に対するセキュリティフィックスが含まれているとのことで、アップデートが強く推奨されています。
* This version contains security fixes for the GnuPG and Sylpheed-Claws components. *Updating to this version is strongly recommended*.
また、ドイツ語ドキュメント抜きの軽量版パッケージ gpg4win-light の ver.1.0.3 も同時に公開されています。
25日付で、安定版 GnuPG の ver.1.4.4 がリリースされています。
今回のリリースのメインはセキュリティフィックスです。
リリースアナウンスや CVE-2006-3082 によると、 安定版 GnuPG 1.4.3 と開発版 1.9.20 以前のバージョンで User ID の処理に問題があり、外部の攻撃者により DoS 攻撃を受けたり、 integer オーバーフローを引き起こされたりする可能性があるという脆弱性が修正されているようです。
* User IDs are now capped at 2048 bytes. This avoids a memory allocation attack (see CVE-2006-3082).
parse-packet.c in GnuPG (gpg) 1.4.3 and 1.9.20, and earlier versions, allows remote attackers to cause a denial of service (gpg crash) and possibly overwrite memory via a message packet with a large length, which could lead to an integer overflow, as demonstrated using the --no-armor option.
その他の変更点については、リリースアナウンスを参照してください。
なお、今回は、ソースコードと Windows 版バイナリが同時にリリースされています。
3日付で gpg4win の ver.1.0.2 がリリースされています。
例によって、収録パッケージのうち、いくつかのものが新しいものに差し替えられています。
なお、ドイツ語ドキュメント抜きの軽量版パッケージ gpg4win-light の ver.1.0.2 も同時に公開されています。
