Thunderbird 78.8.1~78.10.1がインポートしたOpenPGP秘密鍵を暗号化せずに保存する問題でRNPの脆弱性(CVE-2021-33589)が発覚し、修正版のRNP 0.15.1がリリースされている(RNPのアドバイザリー、 The Registerの記事)。
RNPの説明によれば、鍵を復号する2つの方法のうち、rnp_key_unlock が鍵の保護設定を上書きせず一時的に復号するのに対し、rnp_key_unprotect は鍵の保護設定を上書きするため、鍵のデータが保護されていない状態で保存される。しかし、RNP 0.15.1よりも前のバージョンでは、rnp_key_unprotect 実行後に rnp_key_protect を実行しても、鍵の保護状態が再設定されないのだという。RNP 0.15.1以降では、 rnp_key_unprotect で保護が解除された鍵を rnp_key_protectが再度保護する機能が実装されたとのこと。なお、ThunderbirdではRNPとは別にThunderbird 78.10.2で修正されているため、最新版にアップデートすればいい。
| セキュリティ
| スラッシュバック
| バグ
| 暗号
|
関連ストーリー:
Thunderbird 78.8.1~78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた
2021年05月28日
Thunderbird 78でOpenPGPを標準サポートへ
2019年10月12日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因
2018年05月16日
OpenPGPに設計上の脆弱性
2005年02月11日
OpenPGPに理論上のセキュリティホール
2002年08月14日
Source: スラッシュドット
