火曜日に公開されたOpenSSLのアップデートで、深刻度の高いリモートコード実行の欠陥を含む12件の脆弱性が修正された。
オープンソースのSSL/TLSツールキットで修正された12件すべての脆弱性は、サイバーセキュリティ企業Aisleが発見した。同社は自律型アナライザーを用いてこれらのセキュリティホールを特定した。
高深刻度の問題はCVE-2025-15467として追跡されており、特定の条件下でクラッシュ(DoS状態)やリモートコード実行につながり得るスタックバッファオーバーフローだと説明されている。
OpenSSLのメンテナはアドバイザリで次のように説明している。
AES-GCMなどのAEAD暗号を使用するCMS AuthEnvelopedData構造を解析する際、ASN.1パラメータにエンコードされたIV(初期化ベクトル)が、その長さが宛先に収まるかを検証しないまま固定サイズのスタックバッファにコピーされます。攻撃者は過大なIVを含む細工したCMSメッセージを供給することで、認証やタグ検証が行われる前に、スタックベースの範囲外書き込みを引き起こす可能性があります。
AEAD暗号を用いて信頼できないCMSまたはPKCS#7コンテンツ(例:AES-GCMを用いたS/MIME AuthEnvelopedData)を解析するアプリケーションやサービスは脆弱です。オーバーフローは認証前に発生するため、これを引き起こすのに有効な鍵素材は不要です。リモートコード実行として悪用できるかどうかはプラットフォームやツールチェーンの緩和策に依存しますが、スタックベースの書き込みプリミティブは深刻なリスクをもたらします。
最新のOpenSSLリリースでは、CVE-2025-11187にも対処している。これは中程度の深刻度の問題で、悪用されるとDoS状態、さらにはリモートコード実行につながる可能性もある。
残りの欠陥は低深刻度に分類されている。その大半はDoS状態を引き起こすために悪用可能で、いくつかは認証および情報露出に関連している。
Aisleは指摘したように、CVEが割り当てられた12件の脆弱性に加えて、リリースに影響するコードが含まれる前に対処された6件の問題も特定したという。
翻訳元: https://www.securityweek.com/high-severity-remote-code-execution-vulnerability-patched-in-openssl/
