« 2007年02月 | メイン | 2007年04月 »

2007年03月09日

Enigmail 0.94.3 リリース

Mozilla Thunderbird 1.5.x や SeaMonkey 1.0.x で GnuPG サポートを有効にするための拡張機能 Enigmail0.94.3 が、現地時間の6日付でリリースされています。

今回のリリースはセキュリティフィックスで、先日の「Multiple Messages Problem in GnuPG and GPGME」の件の対策が行われています。

  • 06/03/2007 Important Security fix for Enigmail. A security bug detected by Core Security Technologies has been fixed in Enigmail v0.94.3.

[引用元 : mozdev.org : Enigmail - News Archive]

情報源/参考情報

投稿者 : FUDAN , 日時 : 2007年03月09日 20:42 , , コメント (0) , トラックバック (0)

2.x 系列安定版 GnuPG 2.0.3 リリース

現地時間の8日付で GnuPG の 2.x 系列安定版となる 2.0.3 がリリースされています。

今回のリリースは、バグフィックスがメインとなっています。 

This is bug fix release. There are also some minor enhancements.

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] GnuPG 2.0.3 released, From: Werner Koch, Date: Thu Mar 8 15:36:30 CET 2007]

ちなみに、先日の「Multiple Messages Problem in GnuPG and GPGME」の件についても、今回のリリースで対応されています。 

 * By default, do not allow processing multiple plaintexts in a single
   stream.  Many programs that called GnuPG were assuming that GnuPG
   did not permit this, and were thus not using the plaintext boundary
   status tags that GnuPG provides.  This change makes GnuPG reject
   such messages by default which makes those programs safe again.
   --allow-multiple-messages returns to the old behavior.

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] GnuPG 2.0.3 released, From: Werner Koch, Date: Thu Mar 8 15:36:30 CET 2007]

なお、ソースコードパッケージのみのリリースとなっています。 (Windows 版バイナリパッケージはリリースされていません。)

情報源/参考情報

投稿者 : FUDAN , 日時 : 2007年03月09日 20:23 , , コメント (0) , トラックバック (0)

2007年03月08日

1.x 系列安定版 GnuPG 1.4.7 リリース

現地時間の5日付で、 GnuPG の 1.x 系列安定版となる 1.4.7 がリリースされています。

今回のリリースは GnuPG 1.4.6 以前に存在する脆弱性の対策がメインです。

対策された脆弱性の概要は、署名された(または署名 & 暗号化された) OpenPGP メッセージの前後に攻撃者が任意のメッセージが追加することが可能になるというものです。 

The problem is actually a variant of a well known problem in the way
signed material is presented in a MUA.  It is possible to insert
additional text before or after a signed (or signed and encrypted)
OpenPGP message and make the user believe that this additional text is
also covered by the signature.

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] Multiple Messages Problem in GnuPG and GPGME, From: Werner Koch, Date: Tue Mar 6 09:02:45 CET 2007]

影響の範囲は、

  • GnuPG を使用するアプリケーションのうち、適切なステータスインターフェースを使用せずに、署名されたメッセージや署名 & 暗号化されたメッセージの検証を行うもの全て。 → お使いの MUA などによっては、 GnuPG だけではなく当該アプリケーションのアップデートも必要になる可能性があります。
  • GPGME 1.1.3 以前の全てのバージョン。 → GPGME を利用している MUA などをお使いの場合には、 GnuPG だけではなく GPGME や当該アプリケーションのアップデートも必要になる可能性があります。
  • GnuPG 1.4.7 以降および 2.0.3 以降では、この問題は対策済み。 →これを書いている8日20時現在、 2.0.3 はリリースされていないようですが。
  • 分離署名については、この問題の影響を受けない。

となっています。 

All applications using GnuPG without properly using the status
interface to verify signed or signed and encrypted messages.
 
All GPGME versions up to and including 1.1.3.
 
Starting with version 1.4.7 and 2.0.3, GnuPG implements an additional
and sufficient protection against this common usage problem.
 
Detached signatures are in no way affected by this problem.

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] Multiple Messages Problem in GnuPG and GPGME, From: Werner Koch, Date: Tue Mar 6 09:02:45 CET 2007]

GnuPG については、 1.4.7 のソースパッケージと Windows 用バイナリパッケージおよび 1.4.6 のソースコードに対する差分パッチファイルが、 GPGME については、 1.1.4 のソースパッケージおよび 1.1.3 のソースコードに対する差分パッチファイルが、それぞれリリースされています。 必要に応じて選択の上、アップデートしてください。

情報源/参考情報

投稿者 : FUDAN , 日時 : 2007年03月08日 20:45 , , コメント (0) , トラックバック (0)

nanashinonozomi.com : サイト概要 , 連絡先 , 著作権・商標・登録商標 , プライバシーポリシー
©Copyright 2006-2008 FUDAN All Right Reserved.