30秒で判断
対応すべき人:
- OpenSSL 4.x・3.6・3.5・3.4・3.0 を使用しているアプリケーション
- PKCS#7 APIを使用してS/MIME署名メッセージや署名付きデータを処理しているアプリケーション
- メールクライアントや電子署名処理サービスの開発・運用者
対応不要な人:
- OpenSSL 1.1.xのみを使用している環境(影響を受けるバージョン外)
- PKCS#7 APIではなくCMS APIのみを使用しているアプリケーション
- OpenSSLのFIPSモジュールのみを使用している環境
- 不特定のユーザーから署名付きメッセージを受け取らない環境
確認コマンド:
openssl version
概要
OpenSSLにPKCS#7またはS/MIME署名メッセージの処理に関するUse-After-Free脆弱性が発見されました。
SignedData の digestAlgorithms フィールドが空のASN.1 SETとして存在する特殊なPKCS#7署名メッセージを処理する際、PKCS7_verify() 中に呼び出し元が所有するBIOオブジェクトが誤って解放(free)されます。その後、呼び出し側のアプリケーションが同じBIOを使用するとuse-after-free状態となり、プロセスのクラッシュやヒープメモリの破損が発生します。特定の条件下ではリモートコード実行(RCE)につながる可能性があります。
重要な注意事項:
PKCS7_verify()などのPKCS#7 APIを使用するアプリが対象- CMS APIを使用するアプリは影響を受けない
- OpenSSL FIPSモジュール(4.0, 3.6, 3.5, 3.4, 3.0)は影響を受けない
CVSSベクトル
| 指標 | 値 |
|---|---|
| 攻撃ベクトル(AV) | ネットワーク (N) |
| 攻撃複雑度(AC) | 低 (L) |
| 必要権限(PR) | 不要 (N) |
| ユーザー操作(UI) | 必要 (R) |
| スコープ(S) | 変更なし (U) |
| 機密性(C) | 高 (H) |
| 完全性(I) | 高 (H) |
| 可用性(A) | 高 (H) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| OpenSSL | OpenSSL Project | 4.x系(修正コミット前) |
| OpenSSL | OpenSSL Project | 3.6.x(修正コミット前) |
| OpenSSL | OpenSSL Project | 3.5.x(修正コミット前) |
| OpenSSL | OpenSSL Project | 3.4.x(修正コミット前) |
| OpenSSL | OpenSSL Project | 3.0.x(修正コミット前) |
修正バージョンと回避策
推奨対応:
- OpenSSLを最新のパッチバージョンへアップデートする(各ブランチの修正コミットを参照)
# Debian/Ubuntu
sudo apt update && sudo apt upgrade openssl libssl-dev
# RHEL/CentOS/AlmaLinux
sudo dnf upgrade openssl
# アップデート後にバージョン確認
openssl version
回避策: PKCS#7 APIの代わりにCMS APIを使用するようアプリケーションを変更する(工数が大きい場合はアップデートを優先)。
関連リンク
データソース: NVD (NIST), OpenSSL Project
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
