OpenSSLに複数の脆弱性 悪用によって任意コード実行が可能に：セキュリティニュースアラート

OpenSSLプロジェクトは、OpenSSLにおける複数の脆弱性を発表した。深刻度「High」のCVE-2025-15467はコード実行やサービス停止を招く恐れがあり、特に注意が必要だ。各系統の最新版への更新が強く推奨される。

[ITmedia エンタープライズ編集部]

　OpenSSLプロジェクトは2026年1月27日（現地時間）、「OpenSSL」に関する複数の脆弱（ぜいじゃく）性について発表した。

　修正対象の脆弱性にはスタックバッファーオーバーフローやNULLポインター参照、メモリ破壊、過剰なメモリ確保などが含まれ、サービス停止や状況次第でコード実行に至る恐れもある。

深刻度「重要」の脆弱性に注意　環境次第では任意コード実行が可能に

　公開されたセキュリティアドバイザリーにおいて、「CMS AuthEnvelopedData」の解析処理におけるスタックバッファーオーバーフローの問題（CVE-2025-15467）は深刻度「重要」（High）に分類されており、注意が必要だ。

　AEAD暗号方式を使ったCMSメッセージを解析する際、ASN.1で指定された初期化ベクター（IV）の長さを確認しないまま固定長のスタックバッファーにコピーする処理が存在し、不正に細工されたメッセージを処理するとメモリ破壊が発生する可能性がある。この問題は認証処理より前に発生するため、鍵情報を必要とせずにサービス停止や、環境次第では任意コード実行につながる恐れがあるとされている。

　深刻度「中程度」（Moderate）の脆弱性（CVE-2025-11187）も見つかっている。「PKCS#12」ファイルにおける「PBMAC1」パラメーターの検証不備の問題とされ、具体的に「PBKDF2」の「keylength」や「salt」の値が検証されずに使用されることで、スタックバッファーオーバーフローやNULLポインター参照が発生し、アプリケーションが異常終了する可能性がある。

　ただしPKCS#12ファイルは通常、信頼された秘密鍵保管用途で使われるため、外部から不正ファイルを受け取るケースが限定的であることから深刻度は中程度と評価されている。

　この他、TLS 1.3の「CompressedCertificate」機能における過剰なメモリ確保（CVE-2025-66199）、QUIC利用時の「SSL_CIPHER_find」関数におけるNULLポインター参照（CVE-2025-15468）、「openssl dgst」コマンドが16MBを超える入力を暗黙に切り詰める問題（CVE-2025-15469）など、複数の深刻度「低」（Low）の問題も報告されている。これらはいずれも主としてサービス停止や想定外の動作を引き起こす内容であり、一部には暗号処理の完全性に影響するものもあるが、情報漏えいや恒常的な権限取得に直結するものではないという。

　影響を受けるバージョンはOpenSSL 3.6、3.5、3.4を中心に、問題ごとに3.3や3.0、1.1.1系まで及ぶ。PBMAC1やCMSの処理を含まない旧来のバージョンや、特定の機能を持たないビルド構成では影響を受けない場合もある。FIPSモジュールについては、多くの問題がモジュール境界外の実装に起因するため影響を受けない。

　OpenSSLプロジェクトは、利用者に対し該当する最新版への更新を推奨している。具体的にOpenSSL 3.6系であれば3.6.1、3.5系であれば3.5.5、3.4系であれば3.4.4、3.3系であれば3.3.6、3.0系であれば3.0.19への更新が示されている。一部の1.1.1および1.0.2系については、サポート契約を持つ利用者に修正版が提供されるという。