「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
「OpenSSL」に複数の脆弱性が判明した。開発チームはセキュリティアップデートをリリースし、利用者に対応を呼びかけている。
開発チームでは、現地時間2026年1月27日にセキュリティアドバイザリを公開した。バージョンによって影響を受ける脆弱性は異なるが、CVEベースであわせて12件の脆弱性に対処したことを明らかにした。
今回の更新に重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていないが、スタックバッファオーバーフローの脆弱性「CVE-2025-15467」については2番目に高い「高(High)」とレーティングされている。
特定形式のデータを扱う際に用いる初期化ベクトルの処理に不備があり、メール署名「S/MIME」などで使われるCMS形式のデータを読み込むと、メモリ破壊によってクラッシュしたり、リモートからコードを実行されるおそれがある。
さらに重要度「中(Moderate)」とされる「PKCS#12 MAC」の検証処理においてスタックオーバーフローやNULLポインタ参照が発生する脆弱性「CVE-2025-11187」に対処。このほかコマンドの取り扱いやメモリ割り当ての不備、サービス拒否など、重要度「低(Low)」とされる10件の脆弱性が確認された。
開発チームでは、脆弱性に対処したアップデートとして「OpenSSL 3.6.1」「同3.5.5」「同3.4.4」「同3.3.6」「同3.0.19」をリリース。プレミアムサポートの契約者に「同1.1.1ze」「同1.0.2zn」を提供している。今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2025-11187
CVE-2025-15467
CVE-2025-15468
CVE-2025-15469
CVE-2025-66199
CVE-2025-68160
CVE-2025-69418
CVE-2025-69419
CVE-2025-69420
CVE-2025-69421
CVE-2026-22795
CVE-2026-22796
(Security NEXT - 2026/01/29 )
ツイート
PR
関連記事
セキュリティアップデート「Firefox 147.0.2」が公開
複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
「Chrome」にアップデート - 実装不備の脆弱性1件を修正
Atlassian、前月のアップデートで脆弱性のべ34件に対処
悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を
「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開
米当局、「Zimbra」「Versa Concerto」など脆弱性5件の悪用に注意喚起
「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
「VMware vCenter Server」既知脆弱性の悪用を確認 - 米当局も注意喚起
