「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
「OpenSSL」に複数の脆弱性が判明した。開発チームはセキュリティアップデートをリリースし、利用者に対応を呼びかけている。
開発チームでは、現地時間2026年1月27日にセキュリティアドバイザリを公開した。バージョンによって影響を受ける脆弱性は異なるが、CVEベースであわせて12件の脆弱性に対処したことを明らかにした。
今回の更新に重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていないが、スタックバッファオーバーフローの脆弱性「CVE-2025-15467」については2番目に高い「高(High)」とレーティングされている。
特定形式のデータを扱う際に用いる初期化ベクトルの処理に不備があり、メール署名「S/MIME」などで使われるCMS形式のデータを読み込むと、メモリ破壊によってクラッシュしたり、リモートからコードを実行されるおそれがある。
さらに重要度「中(Moderate)」とされる「PKCS#12 MAC」の検証処理においてスタックオーバーフローやNULLポインタ参照が発生する脆弱性「CVE-2025-11187」に対処。このほかコマンドの取り扱いやメモリ割り当ての不備、サービス拒否など、重要度「低(Low)」とされる10件の脆弱性が確認された。
開発チームでは、脆弱性に対処したアップデートとして「OpenSSL 3.6.1」「同3.5.5」「同3.4.4」「同3.3.6」「同3.0.19」をリリース。プレミアムサポートの契約者に「同1.1.1ze」「同1.0.2zn」を提供している。今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2025-11187
CVE-2025-15467
CVE-2025-15468
CVE-2025-15469
CVE-2025-66199
CVE-2025-68160
CVE-2025-69418
CVE-2025-69419
CVE-2025-69420
CVE-2025-69421
CVE-2026-22795
CVE-2026-22796
(Security NEXT - 2026/01/29 )
ツイート
PR
関連記事
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加
Cisco製FWにバックドア「FIRESTARTER」 - 新手法で永続化、侵害確認を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ
「MS Edge」にセキュリティ更新 - 脆弱性2件を修正
「DeepL」のChrome向け拡張機能にXSS脆弱性
「M365 Copilot」にオープンリダイレクトの脆弱性 - すでに修正済み
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
