PGP と GnuPG

今回のリリースは GnuPG 1.4.6 以前に存在する脆弱性の対策がメインです。

対策された脆弱性の概要は、署名された(または署名 & 暗号化された) OpenPGP メッセージの前後に攻撃者が任意のメッセージが追加することが可能になるというものです。

The problem is actually a variant of a well known problem in the way
signed material is presented in a MUA.  It is possible to insert
additional text before or after a signed (or signed and encrypted)
OpenPGP message and make the user believe that this additional text is
also covered by the signature.

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] Multiple Messages Problem in GnuPG and GPGME, From: Werner Koch, Date: Tue Mar 6 09:02:45 CET 2007]

影響の範囲は、

• GnuPG を使用するアプリケーションのうち、適切なステータスインターフェースを使用せずに、署名されたメッセージや署名 & 暗号化されたメッセージの検証を行うもの全て。 → お使いの MUA などによっては、 GnuPG だけではなく当該アプリケーションのアップデートも必要になる可能性があります。
• GPGME 1.1.3 以前の全てのバージョン。 → GPGME を利用している MUA などをお使いの場合には、 GnuPG だけではなく GPGME や当該アプリケーションのアップデートも必要になる可能性があります。
• GnuPG 1.4.7 以降および 2.0.3 以降では、この問題は対策済み。 →これを書いている8日20時現在、 2.0.3 はリリースされていないようですが。
• 分離署名については、この問題の影響を受けない。

となっています。

All applications using GnuPG without properly using the status
interface to verify signed or signed and encrypted messages.
 
All GPGME versions up to and including 1.1.3.
 
Starting with version 1.4.7 and 2.0.3, GnuPG implements an additional
and sufficient protection against this common usage problem.
 
Detached signatures are in no way affected by this problem.

[引用元 : GnuPG.org : Mailing List - gnupg-announce [Important announcements] - Subject: [Announce] Multiple Messages Problem in GnuPG and GPGME, From: Werner Koch, Date: Tue Mar 6 09:02:45 CET 2007]

GnuPG については、 1.4.7 のソースパッケージと Windows 用バイナリパッケージおよび 1.4.6 のソースコードに対する差分パッチファイルが、 GPGME については、 1.1.4 のソースパッケージおよび 1.1.3 のソースコードに対する差分パッチファイルが、それぞれリリースされています。 必要に応じて選択の上、アップデートしてください。

情報源/参考情報

• GnuPG.org - The GNU Privacy Guard
  • Mailing List - gnupg-announce [Important announcements]
    • [Announce] Multiple Messages Problem in GnuPG and GPGME