セキュリティ問題を修正した「GnuPG 2.2.23」が公開

末岡洋子
シェア

 GNU Privacy Guard(GnuPG)プロジェクトは9月3日、OpenPGPとS/MIMEのフリー実装の最新版「GnuPG 2.2.23」公開を発表した。

 GnuPGはOpenPGPとS/MIMEのフリー実装。C言語で作成されており、これを利用してデータと通信を暗号化したり、公開鍵/秘密鍵の管理などができる。GNU Projectの下で開発が進んでおり、GNU GPLv3の下で公開されている。

 GnuPG 2.2.23は、2017年に公開されたバージョン2.2系の最新のポイントリリース。8月に公開されたバージョン2.2.21、7月公開のバージョン2.2.21、および7月公開のGpg4win 3.1.12における重要なセキュリティバグ(CVE-2020-25125)が修正された。

 修正されたのは、OpenPGP鍵のインポート時に認証付き暗号AEAD(Authenticated Encryption with Associated Data)アルゴリズムを優先させるよう設定している場合にクラッシュを引き起こす可能性がある配列のオーバーフローで、g10/key-check.cのエラーが引き起こす。

 なお、現在ベータ版のバージョン2.3系、2.1以前の旧バージョンはこの脆弱性の影響を受けない。

 開発チームはバージョン2.2.21及び2.2.22を使うユーザーに対し、すぐにアップデートするよう推奨している。

GNU Privacy Guard
https://gnupg.org