JVNDB-2025-005734

OpenSSL x509 アプリケーションにおける、拒否設定の代わりに信頼設定を付加してしまう問題（OpenSSL Security Advisory [22nd May 2025]）

OpenSSL Project より、OpenSSL Security Advisory [22nd May 2025]（"The x509 application adds trusted use instead of rejected use (CVE-2025-4575)"）が公開されました。

深刻度−低（Severity：Low）
openssl コマンドラインツールの x509 アプリケーションは、特定の用途における拒否の設定を証明書に付加する -addreject オプションを指定した場合に、意図とは逆に信頼する設定を付加してしまいます（CWE-295、CVE-2025-4575）。

openssl コマンドラインツールの x509 アプリケーションで当該オプションを使用するユーザーのみが、この問題の影響を受けます。

OpenSSL Project

• OpenSSL 3.5.1 より前の 3.5 系バージョン

バージョン 3.5、3.4、3.3、3.2、3.1 および 3.0 の FIPS モジュールは本脆弱性の影響を受けません。
バージョン 3.4、3.3、3.2、3.1、3.0、1.1.1 および 1.0.2 は本脆弱性の影響を受けません。

拒否されるべき証明書が、信頼された証明書として扱われる可能性があります。

[アップデートする]
開発者による本脆弱性公開時点では深刻度が低であるため、OpenSSL git リポジトリにて commit のみが提供されました。
その後、2025 年 7 月 1 日 (現地時間) に本脆弱性を修正した以下のバージョンがリリースされました。

　* OpenSSL 3.5.1

OpenSSL Project

• GitHub : Release OpenSSL 3.5.1
• OpenSSL Security Advisory : OpenSSL Security Advisory [22nd May 2025]

1. 不正な証明書検証(CWE-295) [その他]

1. CVE-2025-4575

1. JVN : JVNVU#91298012

• [2025年05月28日]
    掲載
• [2025年07月04日]
    対策：内容を更新
    ベンダ情報：OpenSSL Project (Commit e96d224) を削除
    ベンダ情報：OpenSSL Project (Release OpenSSL 3.5.1) を追加