OpenSSL x509 アプリケーションに拒否設定の代わりに信頼設定を付加してしまう問題 | ScanNetSecurity
2026.07.05(日)

OpenSSL x509 アプリケーションに拒否設定の代わりに信頼設定を付加してしまう問題

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月27日、OpenSSL x509アプリケーションにおける拒否設定の代わりに信頼設定を付加してしまう問題について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月27日、OpenSSL x509アプリケーションにおける拒否設定の代わりに信頼設定を付加してしまう問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

OpenSSL 3.5.1より前の3.5系バージョン
※バージョン3.5、3.4、3.3、3.2, 3.1および3.0のFIPSモジュールは本脆弱性の影響を受けない
バージョン3.4、3.3、3.2、3.1、3.0、1.1.1および1.0.2は本脆弱性の影響を受けない

 opensslコマンドラインツールのx509アプリケーションには、特定の用途における拒否の設定を証明書に付加する-addrejectオプションを指定した場合に、意図とは逆に信頼する設定を付加してしまう問題(CVE-2025-4575)が存在し、拒否されるべき証明書が信頼された証明書として扱われる可能性がある。なお、opensslコマンドラインツールのx509アプリケーションで当該オプションを使用するユーザーのみが、この問題の影響を受ける。

 2025年5月27日現在、本脆弱性を修正したリリースは提供されておらず、本脆弱性の深刻度は低と評価されているため、OpenSSL 3.5系の次のリリースで修正予定。なお、OpenSSL gitリポジトリ上のソースコードでは既に、本脆弱性は修正されている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

    アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

ランキングをもっと見る
PageTop