[Security Update] GnuPG 1.4.19 and Libgcrypt 1.6.3 released (with SCA fix)

no extension

このバージョンでは2つの Side Channel Attack(CVE-2014-3591, CVE-2015-0837)を緩和する措置がとられている。

Classic 版(1.4 系)は 1.4.19 にアップデートすること。 Stable 版(2.0 系)および Modern 版(2.1 系)については Libgcrypt を 1.6.3 に差し替えること。

問題は Windows バイナリ。 1.4.19 のバイナリは既にダウンロード可能だが, Stable 版および Modern 版についてはバイナリが存在しないので注意が必要。 まぁ Side Channel Attack は,実験レベルではともかく,実際の場面では(状況的に)そう簡単にできるものではないので,そのうち対応してくれるのを待つしかない。

やっぱ自前で Windows 版の GnuPG をビルドできる環境がいるなぁ...