パスワードを忘れた? アカウント作成
15159496 story
暗号

リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 4

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

1月19日にリリースされたオープンソースの暗号ライブラリLibgcrypt 1.9.0で深刻なヒープバッファーオーバーフロー脆弱性(CVE-2021-3345)が見つかり、29日に修正版のバージョン1.9.1がリリースされた(アナウンスProject Zero - Issue 2145The Registerの記事)。

GoogleのProject Zeroが発見した脆弱性は汎用ブロックバッファー抽象化コードに含まれており、ブロックバッファー内で占有されたスペースがアルゴリズムのブロックサイズを超えることがないという誤った前提が原因で、データを復号する際に発生する。オーバーフローするバッファーは直後に呼び出される関数のポインターと隣接しているため、容易に悪用が可能だという。

Project Zeroから1月28日に連絡を受けたGnuPG Projectは翌29日に使用中止の呼び掛けを行い、数時間後にバージョン1.9.1をリリースしている。バージョン1.9.0がリリースされたのは1月19日だが、脆弱性は1.9の開発段階でおよそ2年前に導入されていたそうだ。そのため、1.8 LTSブランチは影響を受けないが、GnuPG Projectでは少なくともバージョン1.8.5以降を使用するよう求めている。

リリース直後ということもあって影響範囲は広くないが、既にバージョン1.9.0を使用していたGentooや、macOS用パッケージマネージャーのHomebrewでは対策が行われている。Fedora 34にもバージョン1.9.0が含まれていたが、正式リリース前だったため影響は小さかったとのこと。ただし、バージョン1.9.1では脆弱性修正と無関係な変更も行われており(リリースノート)、Intel CPUでコンパイルエラーが発生するという問題も確認されているとのことだ。

  • by Anonymous Coward on 2021年02月02日 23時18分 (#3971082)

    誰も来ないけど、重要で、深刻な事なので良く垂れ込んだと(何様だ)

    「データを復号する際に発生する」という事はGnuPGでメール受信したらエクスプロイトの危険性が
    あったという事でしょうかね。現代のシステムは穴だらけだという印象が最近どんどん強くなります。

    ここに返信
    • by Anonymous Coward

      コードサニタイザとか使おうよ
      ウォーニングもなるべく出ないようにだね

      (*´ω`*)

    • by Anonymous Coward

      ひとつ事件あるたびに日本全体を否定してそう

      • by Anonymous Coward

        日本とか狭いよ、ひとつで人類を否定するよ

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...