つみかさね

CVE-2026-34875

Critical(9.8)

CVE-2026-34875 — Mbed TLS FFDHバッファオーバーフロー

公開日: 2026-04-07データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Mbed TLSArm<= 3.6.5
TF-PSA-CryptoArm1.0.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Mbed TLSまたはTF-PSA-Cryptoを使用しているか確認する
  2. 2Mbed TLS 3.6.6以降 / TF-PSA-Crypto 1.1.0以降へアップデートする
  3. 3FFDH鍵交換の使用状況を確認する

影響対象

Mbed TLS利用者IoT/組み込みデバイス開発者

補足

  • -CVE-2026-25835(PRNGシード誤用)と併せてアップデートしてください
CVEMbed TLSバッファオーバーフロー暗号ライブラリ

概要

Mbed TLS 3.6.5 以前 および TF-PSA-Crypto 1.0.0 に おいて、FFDH(有限体 Diffie-Hellman)鍵 の 公開鍵 エクスポート 時 に バッファオーバーフロー が 発生 する 脆弱性 が あります。Mbed TLS は 組み込みシステム や IoT デバイス で 広く 使用 されている 暗号ライブラリ で あり、影響範囲 が 広い 可能性 が あります。同日 に CVE-2026-25835(PRNG シード 誤用、CVSS 7.7)も 報告 されており、Mbed TLS 利用者 は 包括的 な アップデート を 推奨 します。

CVSS ベクトル

項目
CVSS スコア9.8
深刻度CRITICAL
攻撃元区分ネットワーク
攻撃条件の複雑さ
CWECWE-120(バッファサイズの計算の誤り)

影響 を 受ける ソフトウェア

製品名ベンダー影響バージョン
Mbed TLSArm3.6.5 以前
TF-PSA-CryptoArm1.0.0

修正 バージョン と 回避策

  • 修正: Mbed TLS 3.6.6 以降、TF-PSA-Crypto 1.1.0 以降 へ アップデート してください
  • 回避策: FFDH 鍵交換 を 使用 しない 設定 に 変更 する こと で リスク を 軽減 できます

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-25835Mbed TLS PRNGシード誤用CVSS 7.7

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-34875
Mbed TLS:https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-advisory-2026-03-ffdh-buffer-overflow/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。