多重署名問題を修正したGnuPG 1.4.7 2
ストーリー by yourCat
連名禁止 部門より
連名禁止 部門より
tamo 曰く、
GnuPG および GPGME に未署名メッセージ挿入の危険性が発見された。最新版 の GnuPG 1.4.7 および GPGME 1.1.4 で修正されている。PGP/MIME を使っていれば影響ないが、素朴な使い方であっさり署名偽装されてしまう問題が今まで残っていたことは驚きだ。
お手元の GnuPG でも、ぜひ PoC を試していただきたい。まず署名メッセージを original-signed-message.gpg として保存しておき、以下のようにする。echo "適当な挿入文" > foobar.txt
gpg -z0 --output prefix.gpg --store foobar.txt
cat prefix.gpg original-signed-message.gpg > forged.gpg
gpg < forged.gpgすると、foobar.txt の内容まで署名されているかのように表示されてしまうはずだ。
GnuPG を利用する MUA (メーラー) で status-fd をチェックしないものは、この影響を受けるので注意が必要だ。
GnuPG 2.x (スコア:2, 参考になる)
Re:GnuPG 2.x (スコア:1)
わざわざ GPGME から gpg2 を呼ぶことはないんじゃないかな。
で、GPGME の修正は fix というよりも古い GnuPG の workaround みたいで、
GnuPG 1.4.7 があれば GPGME が古くても大丈夫だったり、
GnuPG が古くても GPGME が 1.1.4 なら大丈夫なようになってるみたいですよね。