セキュリティ

SECURITY

公開：2025-05-29

OpenSSL 3.5.0以前のx509アプリケーションに脆弱性CVE-2025-4575、信頼された用途が誤って追加される問題

text: XEXEQ編集部

（記事は執筆時の情報に基づいており、現在では異なる場合があります）

OpenSSL 3.5におけるx509アプリケーションの脆弱性

OpenSSL Software Foundationは2025年5月22日、OpenSSL 3.5のバージョンのx509アプリケーションにおける脆弱性CVE-2025-4575を公開した。この脆弱性は、-addrejectオプションを使用した際に、証明書の拒否された用途ではなく、信頼された用途が追加されるという問題である。例えば、信頼されたCA証明書をTLSサーバーの認証のみに使用し、CMS署名検証には使用しないように意図した場合、-addrejectオプションでCMS署名検証を拒否しようとすると、逆にCMS署名検証用途で信頼された状態になるのだ。

この問題は、コードのマイナーなリファクタリング中のコピー＆ペーストエラーによって発生した。影響を受けるのは、openssl x509コマンドラインアプリケーションを使用して拒否された用途を追加する、信頼された証明書形式を使用しているユーザーのみである。コマンドラインアプリケーションのみに影響する問題は、深刻度が低いと見なされている。OpenSSL 3.4、3.3、3.2、3.1、3.0、1.1.1、および1.0.2は、この問題の影響を受けない。FIPSモジュール（3.5、3.4、3.3、3.2、3.1、3.0）も影響を受けない。

この脆弱性により、意図しない用途で証明書が信頼される可能性があるため、セキュリティリスクとなる。影響を受けるのはOpenSSL 3.5.0以前のバージョンであり、3.5.1以降のバージョンでは修正されている。Red HatのAlexandr Sosedkin氏がこの脆弱性を発見し、Toma? Mraz氏が修正を行った。詳細な情報は、OpenSSLのアドバイザリを参照できる。openssl-library.org、github.com、およびopenwall.comのリストに関連情報が公開されている。

OpenSSL公式サイト

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-4575」. https://www.cve.org/CVERecord?id=CVE-2025-4575, (参照 25-05-29).
931
2. Red Hat. https://www.redhat.com/ja

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧