GnuPG Projectは7月2日(現地時間)、暗号化ソフトウェア「GnuPG 2.5.21」をリリースした。
「GnuPG」は、OpenPGPおよびS/MIME標準の実装を提供するオープンソースソフトウェア。データや電子メールの暗号化、電子署名、鍵管理などの機能を備え、コマンドラインツールとして利用できるほか、様々なアプリケーション内でも利用されている。
「GnuPG 2.5.21」は、現在のstable系列であるGnuPG 2.5系列の最新リリース。復号時の一時ファイル処理の改善、失効署名でのINT_RCP_FPRサブパケット利用、gpgsmのGCM復号処理に関する脆弱性修正などが行われている。
なお、旧stable系列であるGnuPG 2.4系列はEOL(End Of Life)となり、今後はアップデートが提供されない。
「GnuPG 2.5.21」のハイライトは次の通り。
〇64ビットWindows対応の改善とKyber/ML-KEMによる耐量子暗号対応を導入
〇gpgおよびgpgsmで復号時に部分ファイルを使用し、失敗時に削除する保護機能を追加
〇gpgの失効署名でINT_RCP_FPRサブパケットを使用
〇gpgのバッチ鍵生成でkeyserver URLオプション処理時に発生し得るuse-after-freeを修正
〇gpgsmでGCM復号時の最小タグ長を要求するよう変更(CVE-2026-34182)
〇gpgsmで期限切れ証明書の検証に関する回帰を修正
〇agentでKyber鍵のバッチインポートが動作するよう修正
〇dirmngrのDNS CERT取得処理に検証を追加
〇scdaemonで不正なカードから返されるAPDUオブジェクトのサイズを制限
など。
「GnuPG 2.5.21」は、Webサイトからダウンロードできる。
リリースアナウンス
GnuPG
「GnuPG」は、OpenPGPおよびS/MIME標準の実装を提供するオープンソースソフトウェア。データや電子メールの暗号化、電子署名、鍵管理などの機能を備え、コマンドラインツールとして利用できるほか、様々なアプリケーション内でも利用されている。
「GnuPG 2.5.21」は、現在のstable系列であるGnuPG 2.5系列の最新リリース。復号時の一時ファイル処理の改善、失効署名でのINT_RCP_FPRサブパケット利用、gpgsmのGCM復号処理に関する脆弱性修正などが行われている。
なお、旧stable系列であるGnuPG 2.4系列はEOL(End Of Life)となり、今後はアップデートが提供されない。
「GnuPG 2.5.21」のハイライトは次の通り。
〇64ビットWindows対応の改善とKyber/ML-KEMによる耐量子暗号対応を導入
〇gpgおよびgpgsmで復号時に部分ファイルを使用し、失敗時に削除する保護機能を追加
〇gpgの失効署名でINT_RCP_FPRサブパケットを使用
〇gpgのバッチ鍵生成でkeyserver URLオプション処理時に発生し得るuse-after-freeを修正
〇gpgsmでGCM復号時の最小タグ長を要求するよう変更(CVE-2026-34182)
〇gpgsmで期限切れ証明書の検証に関する回帰を修正
〇agentでKyber鍵のバッチインポートが動作するよう修正
〇dirmngrのDNS CERT取得処理に検証を追加
〇scdaemonで不正なカードから返されるAPDUオブジェクトのサイズを制限
など。
「GnuPG 2.5.21」は、Webサイトからダウンロードできる。
(川原 龍人/びぎねっと)
[関連リンク]リリースアナウンス
GnuPG
この記事をシェアしてください
