SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」が、1月27日にアップデートされた。複数の脆弱性が修正されているので注意が必要だ。
今回のリリースで修正された脆弱性は、以下の12件(括弧内は深刻度の評価)。
- CVE-2025-11187:PBMAC1パラメーターの不適切な検証が原因でコードが実行される。v3.6 / v3.5 / v3.4系統のみに影響(Moderate)
- CVE-2025-15467:CMS AuthEnvelopedDataメッセージの解析でスタックバッファオーバーフローが発生し、DoSやリモートコード実行が引き起こされる。v3.6 / v3.5 / v3.4 / v3.3 / v3.0系統のみに影響(High)
- CVE-2025-15468:不明な暗号スイートを受信するとDoSが発生する。v3.6 / v3.5 / v3.4 / v3.3系統のみに影響(Low)
- CVE-2025-15469:ワンショット署名アルゴリズムを使用する際の整合性ギャップ。v3.6系統のみに影響。v3.6 / v3.5系統のみに影響(Low)
- CVE-2025-66199:証明書の圧縮を使用するTLS 1.3接続でサービスの低下やリソース枯渇(DoS)が引き起こされる。v3.6 / v3.5 / v3.4 / v3.3系統のみに影響(Low)
- CVE-2025-68160:BIO_f_linebufferの範囲外書き込みによるDoS(Low)
- CVE-2025-69418:低レベルの OCB 関数呼び出しによるデータの読み取りや改竄。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響(Low)
- CVE-2025-69419:PKCS12_get_friendlyname()におけるUTF-8変換の範囲外書き込みによりDoSなどが発生する。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響(Low)
- CVE-2025-69420:TimeStamp Response検証コードの型混乱によるDoS。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響(Low)
- CVE-2025-69421:PKCS12_item_decrypt_d2i_ex関数におけるNULLポインター参照によるDoS(Low)
- CVE-2026-22795:PKCS#12ファイルの処理で発生するNULLポインター参照によるDoS。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響(Low)
- CVE-2026-22796:PKCS7_digest_from_attributes()関数における型混乱によるDoS(Low)
開発チームは、以下のバージョンへのアップデートを推奨している。
- 3.6.1
- 3.5.5
- 3.4.4
- 3.3.6
- 3.0.19