つみかさね

CVE-2025-15467

High(8.8)

OpenSSL CMSのスタックバッファオーバーフロー脆弱性 CVE-2025-15467:影響範囲と対応方法

公開日: 2026-06-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenSSLOpenSSL Project3.0 / 3.3 / 3.4 / 3.5 / 3.6

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1OpenSSLのバージョンを確認する(openssl version)
  2. 2OpenSSL 3.x系を使用している場合は最新バージョンへアップデートする
  3. 3S/MIME処理にAEAD暗号(AES-GCM等)を使用しているか確認する
  4. 4アップデート後にアプリケーションの動作確認を行う

影響対象

OpenSSL 3.x系利用者S/MIME処理を行うアプリケーション開発者

補足

  • -FIPSモジュールおよびOpenSSL 1.1.1 / 1.0.2は非影響です
  • -ディストリビューションのパッケージアップデートでも対応可能な場合があります
CVEOpenSSLバッファオーバーフローCMSS/MIME

概要

OpenSSL 3.x系において、AES-GCM等のAEAD暗号を使用するCMS(Cryptographic Message Syntax)のAuthEnvelopedDataまたはEnvelopedDataメッセージをパースする際に、スタックバッファオーバーフロー(CWE-787)が発生する脆弱性です。

ASN.1パラメータにエンコードされたIV(Initialization Vector)を固定サイズのスタックバッファへコピーする際に、長さ検証が行われません。認証前にオーバーフローが発生するため、有効な鍵材料なしに攻撃が可能です。

S/MIME(Auth)EnvelopedData処理を行うアプリケーションが対象となります。

CVSSベクトル

属性
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionRequired
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSSスコア8.8 (HIGH)

影響を受けるソフトウェア

製品影響バージョン
OpenSSL3.0, 3.3, 3.4, 3.5, 3.6

非影響: OpenSSL FIPSモジュール(3.0/3.3/3.4/3.5/3.6)、OpenSSL 1.1.1、OpenSSL 1.0.2

修正バージョンと回避策

  • 各OpenSSL 3.x系の最新バージョンへアップデートする
  • S/MIME (Auth)EnvelopedData処理に未信頼のコンテンツを使用しない設定も有効

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-15467
OpenSSL:https://github.com/openssl/openssl/commit/2c8f0e5fa9b6ee5508a0349e4572ddb74db5a703
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。