概要
OpenSSL の CMS(Cryptographic Message Syntax)における AuthEnvelopedData 解析処理 に スタック バッファ オーバーフロー の 脆弱性 が 存在 します。この 問題 は 認証前 フェーズ で 発生 する ため、攻撃者 は 秘密鍵 を 必要 と せず に 攻撃 を 実行 可能 です。
CWE-787(境界外書き込み)に 分類 される この 脆弱性 は、細工 された CMS コンテンツ を 処理 する 際 に スタック 上 の バッファ を 超えて データ が 書き込まれる こと で 発生 します。攻撃者 は この 脆弱性 を 悪用 して 任意 コード の 実行 や サービス 拒否 を 引き起こす 可能性 が あります。
OpenSSL は インターネット 通信 の 暗号化 基盤 として 広く 使用 されて おり、影響 範囲 が 非常 に 大きい ため、速やか な パッチ 適用 が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 |
| 深刻度 | High |
| CWE | CWE-787 (境界外書き込み) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| OpenSSL | OpenSSL Project | 3.0系 |
| OpenSSL | OpenSSL Project | 3.3系 |
| OpenSSL | OpenSSL Project | 3.4系 |
| OpenSSL | OpenSSL Project | 3.5系 |
| OpenSSL | OpenSSL Project | 3.6系 |
修正バージョンと回避策
- 修正バージョン: 各 メジャー バージョン の 最新 パッチ リリース を 適用 して ください(3.0.x, 3.3.x, 3.4.x, 3.5.x, 3.6.x それぞれ に 修正 パッチ が 提供 されて います)
- 暫定回避策: CMS AuthEnvelopedData を 使用 しない 設定 に する。信頼 できない ソース から の CMS コンテンツ の 処理 を 制限 する
- 確認方法:
openssl versionで 現在 の バージョン を 確認 し、修正 済み バージョン 以降 で ある こと を 検証 して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。