[harden-mac:0769] GnuPG-1.4.7 と GnuPG-2.0.3

[Tomio Arisaka <mio_rhapsody@xxxxxxx>]

Tomio Arisaka です。

GnuPG-1.4.7 と GnuPG-2.0.3 が公開されました。
今回も、セキュリティ上の脆弱性を修正したバージョンです。
[Announce] Multiple Messages Problem in GnuPG and GPGME
<http://lists.gnupg.org/pipermail/gnupg-announce/2007q1/000251.html>
[Announce] GnuPG 2.0.3 released
<http://lists.gnupg.org/pipermail/gnupg-announce/2007q1/000252.html>

この脆弱性は、攻撃者によって書き加えられた文書を正しいもののよう 
に表示して
しまうというものです。

gpg や gpg2 は、Unix互換OSで一般的なパイプライ 
ン(pipeline)やリダイレクト
(redirected input and output)に対応しています。この機能を利用し 
た場合、
署名された文書の先頭に任意の文書の追加を許してしまいます。内部処 
理では別々
に扱っているため、追加された文書はそのまま出力され、署名された文 
書はそれ
自体が正しければそのように表示されます。問題は、それらの出力が連 
続している
ために、１つの文書に見えてしまう事です。

私が試してみた限りにおいて、GPGMailでは、署名された文書に 
他の文書が追加
されていると「データが無い」と表示して認証されませんでした。
これをもってGPGMailで問題なしとは言い切れませんから、 
GnuPG-1.4.7へのバー
ジョンアップを推奨します。そして、普段から署名の認証を確認するよ 
うにして
ください。

最後に、GnuPG 2.x によって GnuPG 1.x の開発が打ち切 
られることはありません。
GnuPG 1.x は単独で make できるコンパクトで素晴らしいツール 
ですから、今後も
開発が継続されます。


--[PR]------------------------------------------------------------------
　☆━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━☆　 現金１０万円！
　┃冬┃の┃Ｂ┃Ｉ┃Ｇ┃キ┃ャ┃ン┃ペ┃ー┃ン┃★―★―★―★―★
　☆━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━☆　 豪華賞品満載！
　　　　　　　合計２０４名様にプレゼント！！！
 http://popot.jp/lbu/member/RegistForm1View.do?ref=6000106 
------------------------------------------------------------------[PR]--
■GMO INTERNET GROUP■ GMO INTERNET www.gmo.jp