パスワードを忘れた? アカウント作成
15304807 story
暗号

RNP 0.15.1、復号した鍵を保護せずに保存してしまう問題を修正 5

ストーリー by headless
修正 部門より
Thunderbird 78.8.1~78.10.1がインポートしたOpenPGP秘密鍵を暗号化せずに保存する問題でRNPの脆弱性(CVE-2021-33589)が発覚し、修正版のRNP 0.15.1がリリースされている(RNPのアドバイザリーThe Registerの記事)。

RNPの説明によれば、鍵を復号する2つの方法のうち、rnp_key_unlock が鍵の保護設定を上書きせず一時的に復号するのに対し、rnp_key_unprotect は鍵の保護設定を上書きするため、鍵のデータが保護されていない状態で保存される。しかし、RNP 0.15.1よりも前のバージョンでは、rnp_key_unprotect 実行後に rnp_key_protect を実行しても、鍵の保護状態が再設定されないのだという。RNP 0.15.1以降では、 rnp_key_unprotect で保護が解除された鍵を rnp_key_protectが再度保護する機能が実装されたとのこと。なお、ThunderbirdではRNPとは別にThunderbird 78.10.2で修正されているため、最新版にアップデートすればいい。
  • by Anonymous Coward on 2021年06月07日 10時40分 (#4045891)

    と思って「RNP」でググってみても生物化学系のサイトばっかり。
    「RNP 暗号化」でググっても、スラドのこの記事以外はやっぱり生物化学系のサイトか、たまたま頭文字が同じだけの他のRNPのサイト。

    この記事もほとんどコメントついてないし誰も興味ないんだな。

    ここに返信
    • by Anonymous Coward

      詳しい人は感覚でlibrnpをググりますから

    • by Anonymous Coward

      Ribose Groupというところが作ってるみたいのと、サイト名がrnpgp.orgであるところから、Ribose Nantoka PGP…とか?Nantokaはなんだろ?

      • by Anonymous Coward

        NetPGP (NetBSD の) が元になってるみたいだからその N かな、と思った。

  • by Anonymous Coward on 2021年06月06日 18時36分 (#4045668)

    半年に一度、複数のGmailアカウントログイン処理に使ってます。

    ここに返信
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...