OpenSSL に RFC7250ハンドシェイクによる認証の失敗を検知できない問題 | ScanNetSecurity
2026.07.05(日)

OpenSSL に RFC7250ハンドシェイクによる認証の失敗を検知できない問題

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月13日、OpenSSLにおける、RFC7250ハンドシェイクによる認証の失敗を検知できない問題について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月13日、OpenSSLにおける、RFC7250ハンドシェイクによる認証の失敗を検知できない問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.4.1より前の3.4系バージョン
OpenSSL 3.3.3より前の3.3系バージョン
OpenSSL 3.2.4より前の3.2系バージョン
※バージョン3.4、3.3、3.2のFIPSモジュールは本脆弱性の影響を受けない

 当該バージョンのOpenSSLには、RFC7250で定義されたRaw Public Key(RPK)を用いてサーバ認証を行う際に、認証の失敗をクライアント側で検知できない脆弱性(CVE-2024-12797)が存在し、サーバー認証の失敗がクライアント側で検知されないことで中間者攻撃を受ける可能性がある。

 なお、RPKはサーバ、クライアントともにデフォルトで無効化されているため、双方でRPKが明示的に有効化され、かつSSL_VERIFY_PEERモードの設定でサーバ認証が強制されている場合にのみ、本脆弱性の影響を受ける。

 OpenSSL Projectでは、本脆弱性を修正した下記バージョンをリリースしており、JVNではアップデートを呼びかけている

OpenSSL 3.4.1(3.4系ユーザー向け)
OpenSSL 3.3.3(3.3系ユーザー向け)
OpenSSL 3.2.4(3.2系ユーザー向け)

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

  4. 日本製鉄ホームページで不審な認証画面

    日本製鉄ホームページで不審な認証画面

  5. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

ランキングをもっと見る
PageTop