本家でも先日ストーリーが立ったが、OpenSSL 1.0.0がリリースされた。

アナウンスによると、0.9.8nからの差分には

• 既定の鍵対の形式がPKCS#8に変更
• RFC4507サポート
• ecdsa-with-SHA224/256/384/512のサポート
• カメリア暗号が既定で有効に変更
• MD2が既定で無効に変更

などを含んでいるようだ (多過ぎて、とても全部は書けない)。

「そのままではApache-SSLのコンパイルが通らない」、「Apache mod_sslのコンパイルを通すにはコツがいる」など、ツッコミたい点もいろいろあるのだが、初のβ版からほぼ1年、プロジェクト開始からほぼ11年かけた開発者たちに、まずは感謝とねぎらいの言葉を捧げたい。

Debian GNU/Linuxで、0.9.8c-1以降のopensslパッケージに 欠陥が発覚し、修正版パッケージがリリースされた。なお、オリジナルのOpenSSLにこの欠陥はない。

パッケージ再導入が必要なことは当然だが、欠陥を内包したopensslコマンドで生成した鍵は廃棄し、再生成すべきである点が重要。Debianのページによれば

影響を受ける鍵は、SSH鍵、OpenVPN鍵、DNSSEC鍵、X.509証明書を生成するのに使われる鍵データ、および SSL/TLSコネクションに使うセッション鍵です。GnuPGやGnuTLSで生成した鍵は影響を受けません。

とのこと。DebianやUbuntuなどの管理者、利用者は要注意だ。

つい先月末に4.7から4.8を飛ばして、いきなり4.9に上がったばかりのOpenSSHだが、4月4日、こんどは5.0をリリースした。
4.7から比べると、脆弱性CVE-2008-1483への対応(5.0)や、~/.ssh/rcの実行の既定値の振舞の改善(4.9)など、セキュリティー面での向上がある。
5.0のリリース・メモによると、バグ報告がうまく上がらず、短期で相次ぐリリースとなったらしい。

フィンランドのOulu University Secure Programming Groupが、各種アーカイブ用形式のファイルを扱うソフトウェアに脆弱性を発見、公表した。 ここで、「各種アーカイブ用形式のファイルを扱うソフトウェア」とは、いわゆるアーカイバのほか、アンチ・ウイルス・ソフトウェア、状態を維持するタイプのファイアー・ウォール、バックアップ、オフィス・プログラム、基本ソフトやライブラリーなども含む。

7-Zip、bzip2、Debian、F-Secure、FreeBSD、Gentoo、RARLAB、SUSEなどが、新版をリリースしたり、アドバイザリー情報を公表したりしている。

Apache HTTPサーバー2.2.8、2.0.63、1.3.41がいっせいにリリースされた。
脆弱性対応だけで、CVE-2007-6422 (2.2.8のみ)、CVE-2007-6421 (2.2.8のみ)、CVE-2007-6388、CVE-2007-5000、CVE-2007-3847 (WindowsとNetWareの1.3.41のみ) への対応が含まれているそうだ。
タレコみ時点では (1.3.41の) mod_sslやApache-SSLのリリースはまだのようだ。

なお、1つ前の版――2.2.7、2.0.62、1.3.40――は、リリースされなかった。

昨日、GnuPGの生誕十年を記念し、1.4.8版、2.0.8版がいっせいにリリースされた。
1.4.8版は、新しいOpenPGP規格 (RFC 4880) に対応し、許諾がGPLv3に変更された。
2.0.8版は、地味な欠陥の訂正のほか、Windowsにも対応するようになった。大胆な変更はなさそう。

Apache HTTPサーバー群 ――2.2.6、 2.0.61、 1.3.39―― がいっせいにリリースされた。 セキュリティー・フィクスが中心で、 CVE-2006-5752、 CVE-2007-3304への対応をはじめ、 2.x系列では (リリース・メモでは2006-1862だが) CVE-2007-1862、 CVE-2007-1863、 CVE-2007-3847などへの対応も含まれているそうだ。

mime.typesファイルが大幅に更新されたのと、 マニュアルの切れたリンク (バグ・レポートも出してみるもんだ) の訂正が、 個人的にはうれしい。 タレコミ時点ではmod_ssl、Apache-SSLともに対応版は未リリースのようだ。

Apache Tomcat 6.0.1が、ひっそりと、ダウンロード可能になっていた。

リリースの正式なアナウンスはまだのようだが、公式ウェブ・ページには、もう
・「Tomcat 6.0」のドキュメント
・「Tomcat 6.x」のダウンロード
へのリンクがある (一部ウェブ・ページでは、6.0.1-alphaと表記の箇所もあり)。

Java Servlet 2.5仕様などに対応、ということか。

GnuPG 2.0.0がリリースされた。リリース・メモなどによると、鍵管理機能の強化、OpenPGPとS/MIMEの各規格への準拠と統合が、今回のメーンということらしい。 GnuPG-2系は、同-1系からアーキテクチャーを変更し、モジュールに分割されたようす。gpg-agentが秘密鍵やパス・フレーズを一手に引き受けるようだが、モジュールとはそういう単位のことを指しているのかもしれない。一方、小さくシンプルなGnuPG-1系も当面は、保守されるようだ。

OpenSSLに4件の脆弱性が発覚し、OpenSSL 0.9.8d, 0.9.7lがリリースされた。
うち2件 (CVE-2006-2937, CVE-2006-2940) は、ASN.1解析時のDoSであるため、それなりに影響が出るものと思われる。
1件のバッファ・オーバーフロー脆弱性は、前回に続き、Googleのセキュリティー・チームが報告したとのことだ。
そのほかSSLv2クライアントの脆弱性も改修されている。