Published: 2025-05-29 08:00
OpenSSL x509 アプリケーションに拒否設定の代わりに信頼設定を付加してしまう問題
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月27日、OpenSSL x509アプリケーションにおける拒否設定の代わりに信頼設定を付加してしまう問題について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
OpenSSL 3.5.1より前の3.5系バージョン
※バージョン3.5、3.4、3.3、3.2, 3.1および3.0のFIPSモジュールは本脆弱性の影響を受けない
バージョン3.4、3.3、3.2、3.1、3.0、1.1.1および1.0.2は本脆弱性の影響を受けない
opensslコマンドラインツールのx509アプリケーションには、特定の用途における拒否の設定を証明書に付加する-addrejectオプションを指定した場合に、意図とは逆に信頼する設定を付加してしまう問題(CVE-2025-4575)が存在し、拒否されるべき証明書が信頼された証明書として扱われる可能性がある。なお、opensslコマンドラインツールのx509アプリケーションで当該オプションを使用するユーザーのみが、この問題の影響を受ける。
2025年5月27日現在、本脆弱性を修正したリリースは提供されておらず、本脆弱性の深刻度は低と評価されているため、OpenSSL 3.5系の次のリリースで修正予定。なお、OpenSSL gitリポジトリ上のソースコードでは既に、本脆弱性は修正されている。
| # | 言葉 | 意味 |
|---|---|---|
| 5 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 4 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 4 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 3 | および | および (及び) : and; as well as |
| 3 | 拒否 | きょひ (拒否) : refusal; rejection; denial; veto |
| 3 | 信頼 | しんらい (信頼) : reliance; trust; faith; confidence |
| 3 | 付加 | ふか (付加) : addition; annexation; appendage |
| 3 | 証明書 | しょうめいしょ (証明書) : certificate (usually of proof of something); credentials |
| 3 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 2 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 2 | 系 | けい (系) : 1. system; lineage; group 2. corollary |
| 2 | 受ける | うける (受ける) : 1. to receive; to get 2. to catch (e.g. a ball) |
| 2 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 特定 | とくてい (特定) : 1. specific; particular; designated; special 2. specifying; designating; identifying; pinpointing |
| 1 | 用途 | ようと (用途) : use; service; purpose |
| 1 | 指定 | してい (指定) : designation; specification; assignment; appointment; pointing at |
| 1 | 意図 | いと (意図) : intention; aim; design |
| 1 | 逆 | ぎゃく (逆) : 1. reverse; opposite 2. converse (of a hypothesis, etc.) |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 扱う | あつかう (扱う) : 1. to deal with (a person); to treat; to handle; to take care of; to entertain 2. to deal with (a problem); to handle; to manage |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 1 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |
| 1 | のみ | のみ : only; nothing but |
| 1 | 現在 | げんざい (現在) : now; current; present; present time; as of |
| 1 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 1 | 深刻 | しんこく (深刻) : serious; severe; grave; acute |
| 1 | 低 | てい (低) : low (level, value, price, etc.) |
| 1 | 評価 | ひょうか (評価) : 1. valuation; appraisal; evaluation; assessment; estimation; rating; judging 2. appreciation; recognition; acknowledgement; rating highly; praising |
| 1 | 既に | すでに (既に) : already; too late |