つみかさね

CVE-2026-45447

High(8.8)

OpenSSLのPKCS#7署名検証Use-After-Free CVE-2026-45447:影響範囲と対応方法

公開日: 2026-07-07データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenSSLOpenSSL Project3.0.x / 3.4.x / 3.5.x / 3.6.x / 4.x(各パッチ前)

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1openssl version コマンドで現在のバージョンを確認する
  2. 2影響バージョン(3.0/3.4/3.5/3.6/4.x系)を使用している場合、パッケージマネージャーでアップデートする
  3. 3アプリケーションがPKCS7_verify()等のPKCS#7 APIを使用しているか確認する
  4. 4アップデート後にOpenSSLのバージョンを再確認する

影響対象

PKCS#7署名処理を行うアプリケーション(S/MIMEメール処理、電子署名サービス等)

補足

  • -CMS APIを使用しているアプリは影響を受けない
  • -FIPSモジュールは影響を受けない
  • -一般的なHTTPS通信はTLSを使用するためこのバグの影響を直接受けない
CVEOpenSSLPKCS7Use-After-Free暗号S/MIME

30秒で判断

対応すべき人:

  • OpenSSL 4.x・3.6・3.5・3.4・3.0 を使用しているアプリケーション
  • PKCS#7 APIを使用してS/MIME署名メッセージや署名付きデータを処理しているアプリケーション
  • メールクライアントや電子署名処理サービスの開発・運用者

対応不要な人:

  • OpenSSL 1.1.xのみを使用している環境(影響を受けるバージョン外)
  • PKCS#7 APIではなくCMS APIのみを使用しているアプリケーション
  • OpenSSLのFIPSモジュールのみを使用している環境
  • 不特定のユーザーから署名付きメッセージを受け取らない環境

確認コマンド:

openssl version

概要

OpenSSLにPKCS#7またはS/MIME署名メッセージの処理に関するUse-After-Free脆弱性が発見されました。

SignedDatadigestAlgorithms フィールドが空のASN.1 SETとして存在する特殊なPKCS#7署名メッセージを処理する際、PKCS7_verify() 中に呼び出し元が所有するBIOオブジェクトが誤って解放(free)されます。その後、呼び出し側のアプリケーションが同じBIOを使用するとuse-after-free状態となり、プロセスのクラッシュやヒープメモリの破損が発生します。特定の条件下ではリモートコード実行(RCE)につながる可能性があります。

重要な注意事項:

  • PKCS7_verify() などのPKCS#7 APIを使用するアプリが対象
  • CMS APIを使用するアプリは影響を受けない
  • OpenSSL FIPSモジュール(4.0, 3.6, 3.5, 3.4, 3.0)は影響を受けない

CVSSベクトル

指標
攻撃ベクトル(AV)ネットワーク (N)
攻撃複雑度(AC)低 (L)
必要権限(PR)不要 (N)
ユーザー操作(UI)必要 (R)
スコープ(S)変更なし (U)
機密性(C)高 (H)
完全性(I)高 (H)
可用性(A)高 (H)

影響を受けるソフトウェア

製品ベンダー影響バージョン
OpenSSLOpenSSL Project4.x系(修正コミット前)
OpenSSLOpenSSL Project3.6.x(修正コミット前)
OpenSSLOpenSSL Project3.5.x(修正コミット前)
OpenSSLOpenSSL Project3.4.x(修正コミット前)
OpenSSLOpenSSL Project3.0.x(修正コミット前)

修正バージョンと回避策

推奨対応:

  • OpenSSLを最新のパッチバージョンへアップデートする(各ブランチの修正コミットを参照)
# Debian/Ubuntu
sudo apt update && sudo apt upgrade openssl libssl-dev

# RHEL/CentOS/AlmaLinux
sudo dnf upgrade openssl

# アップデート後にバージョン確認
openssl version

回避策: PKCS#7 APIの代わりにCMS APIを使用するようアプリケーションを変更する(工数が大きい場合はアップデートを優先)。

関連リンク


データソース: NVD (NIST), OpenSSL Project
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。