[openssl-library.org]🔒 セキュリティ★★★★★
OpenSSL、CVE-2026-45447 等6件の脆弱性を修正・Moderate含む
編集部まとめ
- OpenSSLが6月9日、Moderate含む複数CVEを修正・4.0.1等をリリース
- CVE-2026-34182はAES-GCM→OFB書き換えによる完全性バイパスで影響大
- PKCS#12・ASN.1処理でも Low CVE 2件・64ビットUnix系は全3件に注意
OpenSSLは2026年6月9日、複数の脆弱性を修正したバージョンを公開した。CVE-2026-34182(Moderate)はCMS AuthEnvelopedData処理の入力検証不足で、攻撃者がAES-GCM暗号文をAES-256-OFBに書き換えることで正規受信者の秘密鍵を悪用し、メッセージ完全性をバイパスできる。CVE-2026-34181(Low)はPKCS#12のPBMAC1処理で1バイトHMACキーを受け入れる欠陥があり、256回に1回の確率で偽造証明書と秘密鍵が受け入れられる。CVE-2026-34180(Low)は2GB超のASN.1要素でヒープバッファ過読が起き、DoSやメモリ漏洩につながる(64ビットUnix系のみ影響・FIPSモジュールは対象外)。修正済みバージョンは4.0.1、3.6.3、3.5.7、3.4.6、3.0.21。
編集部の影響度コメント
d2i_X509()やd2i_PKCS7()等にユーザー入力を渡しているサービス、またはPKCS#12ファイルの受付・CMS AuthEnvelopedData処理を実装しているチームは、速やかに対象バージョンへの更新を適用すること。特にCVE-2026-34182はオンパス攻撃者による認証バイパスに直結するため、本番環境での優先度を高くすべき。