1月19日にリリースされたオープンソースの暗号ライブラリLibgcrypt 1.9.0で深刻なヒープバッファーオーバーフロー脆弱性(CVE-2021-3345)が見つかり、29日に修正版のバージョン1.9.1がリリースされた(アナウンス、 Project Zero - Issue 2145、 The Registerの記事)。

GoogleのProject Zeroが発見した脆弱性は汎用ブロックバッファー抽象化コードに含まれており、ブロックバッファー内で占有されたスペースがアルゴリズムのブロックサイズを超えることがないという誤った前提が原因で、データを復号する際に発生する。オーバーフローするバッファーは直後に呼び出される関数のポインターと隣接しているため、容易に悪用が可能だという。

Project Zeroから1月28日に連絡を受けたGnuPG Projectは翌29日に使用中止の呼び掛けを行い、数時間後にバージョン1.9.1をリリースしている。バージョン1.9.0がリリースされたのは1月19日だが、脆弱性は1.9の開発段階でおよそ2年前に導入されていたそうだ。そのため、1.8 LTSブランチは影響を受けないが、GnuPG Projectでは少なくともバージョン1.8.5以降を使用するよう求めている。

リリース直後ということもあって影響範囲は広くないが、既にバージョン1.9.0を使用していたGentooや、macOS用パッケージマネージャーのHomebrewでは対策が行われている。Fedora 34にもバージョン1.9.0が含まれていたが、正式リリース前だったため影響は小さかったとのこと。ただし、バージョン1.9.1では脆弱性修正と無関係な変更も行われており(リリースノート)、Intel CPUでコンパイルエラーが発生するという問題も確認されているとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ | 暗号 |

関連ストーリー：
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 2020年11月13日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
オーストラリア政府、パプアニューギニア設置のデータセンター脆弱性でファーウェイを非難。意図的な不具合か 2020年08月24日
QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 2020年08月12日
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日