GnuPG の 1.4.x 系列と 2.0.x 系列にバッファオーバーフローの脆弱性
GnuPG の 1.4.x 系列(GnuPG-1)と 2.0.x 系列(GnuPG-2)にバッファオーバーフローの脆弱性が発見され、現地時間の27日付でパッチがリリースされています。
今回の脆弱性は、特殊な細工を施したメッセージにより gpg や gpg2 をクラッシュさせることができるというもので、 GnuPG を対話的に実行する場合に影響を受ける(バッチモードで動作している場合には、今回の脆弱性の影響を受けない)ようです。
When running GnuPG interactively, special crafted messages may be used to crash gpg or gpg2. Running gpg in batch mode, as done by all software using gpg as a backend (e.g. mailers), is not affected by this bug. Exploiting this overflow seems to be possible. gpg-agent, gpgsm, gpgv or other tools from the GnuPG suite are not affected.
なお、現在はソースコードに対するパッチのみの公開となっていますが、今週中には修正版がリリースされることになっているようです。
> Will this lead to a 1.4.6 / 2.0.1 release anytime soon or is the bug > not serious enough for that? Yes. This week.
