OpenSSLプロジェクトは、3件の脆弱性に対する修正を含む、オープンソースSSL/TLSツールキットの新しいバージョンを複数公開したと発表しました。
OpenSSLライブラリのバージョン3.5.4、3.4.3、3.3.5、3.2.6、3.0.18、1.0.2zm、1.1.1zdがリリースされました。これらのほとんどは、CVE-2025-9230、CVE-2025-9231、CVE-2025-9232として追跡されている3件の脆弱性すべてを修正しています。
これらの脆弱性のうち2件には「中程度の深刻度」評価が付与されています。そのうちの1つがCVE-2025-9231で、攻撃者が秘密鍵を復元できる可能性があります。
OpenSSLは多くのアプリケーション、ウェブサイト、サービスで通信の保護に利用されており、攻撃者が秘密鍵を入手できれば、暗号化された通信を復号したり、中間者(MitM)攻撃を実行したりすることが可能になります。
ただし、OpenSSLの開発者は、影響を受けるのは64ビットARMプラットフォーム上のSM2アルゴリズムの実装のみであると指摘しています。
「OpenSSLはTLSにおいてSM2鍵を持つ証明書を直接サポートしていないため、このCVEはほとんどのTLS環境では関連しません」と開発者は説明しています。「しかし、カスタムプロバイダを通じてそのような証明書のサポートを追加できること、そしてそのようなカスタムプロバイダ環境ではリモートタイミング測定によって秘密鍵が復元される可能性があることから、これを中程度の深刻度の問題とみなしています。」
CVE-2025-9230は、任意のコード実行やDoS攻撃に悪用可能な境界外読み書きの問題とされており、これも「中程度の深刻度」と評価されています。
「この脆弱性の悪用に成功した場合の影響は重大となり得ますが、攻撃者が実際にこれを実行できる可能性は低いです」とOpenSSLプロジェクトのセキュリティアドバイザリは説明しています。
広告。スクロールして続きをお読みください。
3つ目の脆弱性は「低い深刻度」とされており、悪用されるとクラッシュを引き起こし、DoS状態をもたらす可能性があります。
OpenSSLのセキュリティは、悪名高いHeartbleed脆弱性の発見以来、大きく進化しています。
いくつかの欠陥が依然として話題となることはありますが、近年OpenSSLで発見された脆弱性の数や深刻度は低い状態が続いています。2025年にこれまでに解決された問題は他に3件のみで、そのうち「高い深刻度」とされたものは1件だけです。
この高い深刻度の問題はAppleの研究者によって発見され、中間者(MitM)攻撃を可能にするものです。
