最新のOpenSSL更新により7つの脆弱性がパッチされました。その中には、攻撃者が機密データを取得できる可能性のある欠陥が含まれています。
CVE-2026-31790として追跡されているこのデータ漏洩の問題は「中程度の重大度」と評価されており、秘密の暗号化キーを確立するためにRSASVE鍵カプセル化を使用するアプリケーションに影響を与えます。
問題は、OpenSSLが暗号化の成功を適切に検証できないことがあるにもかかわらず、「成功」メッセージを返す可能性があり、初期化されていないメモリバッファからのデータを攻撃者に露出させてしまうことです。
「初期化されていないバッファは、アプリケーションプロセスの前の実行からの機密データを含む可能性があり、これは攻撃者への機密データの漏洩につながる」とOpenSSL開発者は勧告で説明しました。
このセキュリティ上の問題はバージョン3.6、3.5、3.4、3.3、および3.0に影響します。OpenSSL 1.0.2および1.1.1は影響を受けません。
残りの脆弱性はすべて「低重大度」に分類されています。大多数はアプリケーションのクラッシュを引き起こし、DoS状態を引き起こすために悪用される可能性があります。
これらの欠陥の2つは理論上、任意のコード実行につながる可能性がありますが、1つはOpenSSLの一般的でない構成に影響し、もう1つは特別に細工された1GBのX.509証明書を送信することが関係しています。
1月にOpenSSL開発者によってリリースされた更新は12の脆弱性に対応しており、リモートコード実行のために悪用される可能性のある高重大度の欠陥が含まれています。
高重大度の脆弱性はOpenSSLではまれになりました。2025年には1つだけそのような脆弱性が見つかりました。
翻訳元: https://www.securityweek.com/data-leakage-vulnerability-patched-in-openssl/
