RNP 0.15.1、復号した鍵を保護せずに保存してしまう問題を修正 5
ストーリー by headless
修正 部門より
修正 部門より
Thunderbird 78.8.1~78.10.1がインポートしたOpenPGP秘密鍵を暗号化せずに保存する問題でRNPの脆弱性(CVE-2021-33589)が発覚し、修正版のRNP 0.15.1がリリースされている(RNPのアドバイザリー、 The Registerの記事)。
RNPの説明によれば、鍵を復号する2つの方法のうち、rnp_key_unlock が鍵の保護設定を上書きせず一時的に復号するのに対し、rnp_key_unprotect は鍵の保護設定を上書きするため、鍵のデータが保護されていない状態で保存される。しかし、RNP 0.15.1よりも前のバージョンでは、rnp_key_unprotect 実行後に rnp_key_protect を実行しても、鍵の保護状態が再設定されないのだという。RNP 0.15.1以降では、 rnp_key_unprotect で保護が解除された鍵を rnp_key_protectが再度保護する機能が実装されたとのこと。なお、ThunderbirdではRNPとは別にThunderbird 78.10.2で修正されているため、最新版にアップデートすればいい。
RNPの説明によれば、鍵を復号する2つの方法のうち、rnp_key_unlock が鍵の保護設定を上書きせず一時的に復号するのに対し、rnp_key_unprotect は鍵の保護設定を上書きするため、鍵のデータが保護されていない状態で保存される。しかし、RNP 0.15.1よりも前のバージョンでは、rnp_key_unprotect 実行後に rnp_key_protect を実行しても、鍵の保護状態が再設定されないのだという。RNP 0.15.1以降では、 rnp_key_unprotect で保護が解除された鍵を rnp_key_protectが再度保護する機能が実装されたとのこと。なお、ThunderbirdではRNPとは別にThunderbird 78.10.2で修正されているため、最新版にアップデートすればいい。
RNPって何だ? (スコア:1)
と思って「RNP」でググってみても生物化学系のサイトばっかり。
「RNP 暗号化」でググっても、スラドのこの記事以外はやっぱり生物化学系のサイトか、たまたま頭文字が同じだけの他のRNPのサイト。
この記事もほとんどコメントついてないし誰も興味ないんだな。
Re: (スコア:0)
詳しい人は感覚でlibrnpをググりますから
Re: (スコア:0)
Ribose Groupというところが作ってるみたいのと、サイト名がrnpgp.orgであるところから、Ribose Nantoka PGP…とか?Nantokaはなんだろ?
Re: (スコア:0)
NetPGP (NetBSD の) が元になってるみたいだからその N かな、と思った。
なお、Thunderbirdの最新版はThunderbird 78.11.0 (スコア:0)
半年に一度、複数のGmailアカウントログイン処理に使ってます。