🛡 概要
OpenSSLプロジェクトは、SSL/TLSツールキットの新しいバージョンを発表しました。これには、3つの脆弱性に対するパッチが含まれています。これらの脆弱性はCVE-2025-9230、CVE-2025-9231、CVE-2025-9232として追跡されています。リリースされたバージョンは3.5.4、3.4.3、3.3.5、3.2.6、3.0.18、1.0.2zm、1.1.1zdです。これらのバージョンのほとんどは、全ての脆弱性を修正しています。特にCVE-2025-9231は、攻撃者が秘密鍵を復元できる可能性があるため、注意が必要です。
🔍 技術詳細
CVE-2025-9231は、64ビットARMプラットフォーム上でのSM2アルゴリズムの実装に影響を及ぼします。OpenSSLはTLSでSM2鍵を持つ証明書を直接サポートしていないため、このCVEはほとんどのTLSコンテキストでは関連性がありません。しかし、カスタムプロバイダーを介して証明書を追加することが可能であり、その場合、リモートタイミング測定によって秘密鍵が復元される可能性があるため、開発者はこの問題を「中程度の重大性」と評価しています。CVE-2025-9230は、境界外の読み書きの問題であり、任意のコード実行やDoS攻撃に利用される可能性があります。
⚠ 影響
これらの脆弱性は、特にSM2アルゴリズムを使用するアプリケーションやサービスに影響を及ぼします。攻撃者が秘密鍵を取得できれば、暗号化された通信を復号したり、中間者攻撃(MitM攻撃)を実行したりすることが可能になります。また、CVE-2025-9230の成功した悪用は、深刻な結果をもたらす可能性がありますが、攻撃者が実行できる確率は低いとされています。第三の脆弱性は「低い重大性」とされ、クラッシュを引き起こしてDoS状態を引き起こす可能性があります。
🛠 対策
OpenSSLプロジェクトは、影響を受けるバージョンを使用しているユーザーに対して、できるだけ早く新しいバージョンへのアップデートを推奨しています。特にCVE-2025-9231に関しては、SM2アルゴリズムを使用しているシステムは、即座にパッチを適用することが重要です。また、サーバーやアプリケーションのセキュリティを強化するために、TLS設定の見直しや、最新のセキュリティパッチの適用を定期的に行うことが求められます。OpenSSLのセキュリティは進化してきましたが、引き続き注意深く監視することが必要です。
