JVNDB-2026-002580

OpenSSL ProjectのOpenSSLにおける過剰なサイズ値のメモリ割り当てに関する脆弱性

問題の概要：証明書圧縮を使用するTLS 1.3接続において、圧縮解除前に構成された証明書サイズの制限を確認せずに大きなバッファを割り当てることが強制される可能性があります。影響の概要：攻撃者は接続ごとに最大約22 MiBのメモリ割り当ておよび追加のCPU処理を引き起こすことができ、サービスの劣化やリソースの枯渇（サービス拒否）を招く可能性があります。影響を受ける構成では、CompressedCertificateメッセージからのピアが提供する未圧縮証明書の長さを圧縮解除前にヒープバッファを増加させるために使用します。この長さは、証明書メッセージのサイズを制限するmax_cert_list設定では制限されていません。攻撃者はこれを悪用して大きな接続ごとの割り当てを引き起こし、その後ハンドシェイク失敗を誘発できます。メモリ破損や情報漏えいは発生しません。この問題は、TLS 1.3証明書圧縮が組み込まれている（すなわちOPENSSL_NO_COMP_ALGでない）ビルドで、少なくとも1つの圧縮アルゴリズム（brotli、zlib、またはzstd）が利用可能であり、かつ圧縮拡張機能が交渉されている場合にのみ影響します。サーバーのCompressedCertificateを受け取るクライアントと、相互TLSシナリオでクライアントのCompressedCertificateを受け取るサーバーの両方が影響を受けます。クライアント証明書を要求しないサーバーはクライアント起因の攻撃に対して脆弱ではありません。ユーザーはSSL_OP_NO_RX_CERTIFICATE_COMPRESSIONを設定して圧縮証明書の受信を無効化することでこの問題を軽減可能です。OpenSSLのFIPSモジュール（バージョン3.6、3.5、3.4および3.3）は、この問題の影響を受けません。なぜならTLS実装がOpenSSL FIPSモジュールの境界外に存在するためです。OpenSSL 3.6、3.5、3.4および3.3はこの問題に対して脆弱です。OpenSSL 3.0、1.1.1、および1.0.2はこの問題の影響を受けません。

OpenSSL Project

• OpenSSL 3.3.0 以上 3.3.6 未満
• OpenSSL 3.4.0 以上 3.4.4 未満
• OpenSSL 3.5.0 以上 3.5.5 未満
• OpenSSL 3.6.0 以上 3.6.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL Library : https://openssl-library.org/news/secadv/20260127.txt

1. 過剰なサイズ値のメモリ割り当て(CWE-789) [その他]

1. CVE-2025-66199

1. National Vulnerability Database (NVD) : CVE-2025-66199
2. 関連文書 : Check the received uncompressed certificate length to prevent excessive  openssl/openssl@6184a4f  GitHub
3. 関連文書 : Check the received uncompressed certificate length to prevent excessive  openssl/openssl@895150b  GitHub
4. 関連文書 : Check the received uncompressed certificate length to prevent excessive  openssl/openssl@966a247  GitHub
5. 関連文書 : Check the received uncompressed certificate length to prevent excessive  openssl/openssl@3ed1f75  GitHub

• [2026年02月04日]
    掲載