JVNDB-2025-005734
|
OpenSSL x509 アプリケーションにおける、拒否設定の代わりに信頼設定を付加してしまう問題(OpenSSL Security Advisory [22nd May 2025])
|
|
OpenSSL Project より、OpenSSL Security Advisory [22nd May 2025]("The x509 application adds trusted use instead of rejected use (CVE-2025-4575)")が公開されました。
深刻度−低(Severity:Low)
openssl コマンドラインツールの x509 アプリケーションは、特定の用途における拒否の設定を証明書に付加する -addreject オプションを指定した場合に、意図とは逆に信頼する設定を付加してしまいます(CWE-295、CVE-2025-4575)。
openssl コマンドラインツールの x509 アプリケーションで当該オプションを使用するユーザーのみが、この問題の影響を受けます。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.5.1 より前の 3.5 系バージョン
|
バージョン 3.5、3.4、3.3、3.2、3.1 および 3.0 の FIPS モジュールは本脆弱性の影響を受けません。
バージョン 3.4、3.3、3.2、3.1、3.0、1.1.1 および 1.0.2 は本脆弱性の影響を受けません。
|
|
拒否されるべき証明書が、信頼された証明書として扱われる可能性があります。
|
|
[アップデートする]
2025 年 5月 27 日現在、本脆弱性を修正したリリースは提供されていません。
本脆弱性の深刻度は低と評価されており、OpenSSL 3.5 系の次のリリースで修正される予定です。
OpenSSL git リポジトリ上のソースコードでは、本脆弱性はすでに修正されています。
|
|
OpenSSL Project
|
|
- 不正な証明書検証(CWE-295) [その他]
|
|
- CVE-2025-4575
|
|
- JVN : JVNVU#91298012
|
|
|
