■ 1. アップデート概要
- OpenSSLの開発チームが2026年6月9日(日本時間)にセキュリティアップデートを実施
- 修正済みバージョン:
- OpenSSL 4.0.1(18件の修正)
- OpenSSL 3.6.3(17件の修正)
- OpenSSL 3.5.7(15件の修正)
- OpenSSL 3.4.6(13件の修正)
- OpenSSL 3.0.21(9件の修正)
■ 2. 深刻度 High の脆弱性
- CVE-2026-45447:
- 対象: 全バージョン
- 内容:
PKCS7_verify()関数におけるヒープメモリのuse-after-free(解放後利用)- 影響: 細工された「PKCS#7」「S/MIME」署名メッセージの処理時にクラッシュ、ヒープ破壊、コード実行が発生する恐れがある
- 対応: 早急なアップデートが推奨される
■ 3. 深刻度 Moderate の脆弱性
- CVE-2026-34182:
- 内容: CMSの「AuthEnvelopedData」処理において偽造メッセージを受け入れてしまう可能性
- CVE-2026-34183:
- 内容: QUICの「PATH_CHALLENGE」ハンドラーにおける無制限のメモリ消費
- 影響: サービス拒否(DoS)につながる恐れがある
- CVE-2026-35188:
- 内容: OCSPステープリング応答の検証時に発生するダブルフリー(二重解放)
- 影響: DoSおよびコード実行につながる恐れがある
- CVE-2026-42764:
- 内容: QUICサーバーの初期パケット処理におけるNULLポインター参照
- 影響: DoSにつながる恐れがある
- CVE-2026-45445:
- 内容:
EVP_Cipher()経由で「AES-OCB」を利用する際にIV(初期化ベクトル)が無視される- 影響: 通信傍受の恐れがある
■ 4. 深刻度 Low の脆弱性
- CVE-2026-7383: ASN.1マルチバイト文字列変換におけるヒープバッファーオーバーフロー。クラッシュやコード実行の恐れがある
- CVE-2026-9076: パスワードベースのCMS復号における範囲外読み取り。DoSの恐れがある
- CVE-2026-34180: ASN.1コンテンツ解析におけるヒープバッファーの範囲外読み取り。DoSの恐れがある
- CVE-2026-34181: 短いHMACキーを指定した「PBMAC1」整合性保護付きの「PKCS#12」ファイルを受け入れてしまう問題。証明書と秘密鍵の偽造が可能になる恐れがある
- CVE-2026-42765: OCSPチェックを伴う証明書検証におけるNULL参照。DoSの恐れがある
- CVE-2026-42766: パスワードベースのCMS復号におけるNULL参照。DoSの恐れがある
- CVE-2026-42767: CRMFの「EncryptedValue」復号におけるNULLポインター参照。DoSの恐れがある
- CVE-2026-42768:
CMS_decrypt()およびPKCS7_decrypt()における複数「RecipientInfo」を悪用したBleichenbacherオラクル攻撃を受ける恐れがある- CVE-2026-42769: CMP「rootCaKeyUpdate」処理のcert/issuer取り違えによるトラストアンカーの置き換え。ルートCA証明書を変更される恐れがある
- CVE-2026-42770: FFC-DHのピア検証で攻撃者が指定した「q」値を使用してしまう問題。秘密鍵を復元される恐れがある
- CVE-2026-42771:
X509_VERIFY_PARAM_set1_email()における範囲外読み取り。DoSの恐れがある- CVE-2026-45446: 「AES-GCM-SIV」「AES-SIV」モードにおける空メッセージのタグ処理の誤り。任意のAAD(追加認証データ)を含む空のメッセージを偽造できる恐れがある
■ 5. サポート終了バージョンへの対応
- OpenSSL 1.1.1 および OpenSSL 1.0.2 系統にも同様のセキュリティアップデートが存在する
- これらのバージョンは一般向けサポートが終了しており、修正版(v1.1.1zh、v1.0.2zq)の入手はプレミアムサポート契約者に限定される