JVNDB-2026-007970
|
OpenSSLにおけるTLS 1.3鍵交換グループの選択に関する問題(OpenSSL Security Advisory [13th March 2026])
|
|
OpenSSL ProjectよりOpenSSL Security Advisory [13th March 2026]が公開されました。
深刻度 - 低(Severity:Low) - OpenSSLにはTLS 1.3サーバーが設定した優先順位どおりに鍵交換グループを選択できない問題が存在します(CWE-757、CVE-2026-2673)。この問題はTLS 1.3の鍵交換グループ設定でDEFAULTキーワードを使用して既定のグループを含めた場合に発生する可能性があります。
|
|
|
|
|
OpenSSL Project
- OpenSSL 3.6.2より前の3.6系バージョン
- OpenSSL 3.5.6より前の3.5系バージョン
|
バージョン3.4、3.3、3.0、1.0.2および1.1.1は本脆弱性の影響を受けません。 OpenSSL FIPSモジュールは本問題の影響を受けません。
|
|
クライアントとサーバーの双方が、より優先される鍵交換グループをサポートしている場合でも、優先度の低い鍵交換グループが使用される可能性があります。
|
|
[アップデートする]
2026年3月13日現在、本脆弱性を修正したリリースは提供されていません。
本脆弱性の深刻度は低と評価されており、OpenSSL 3.6系、3.5系の次のリリースで修正される予定です。
OpenSSL gitリポジトリ上のソースコードでは、本脆弱性はすでに修正されています。 - OpenSSL 3.6.2
- OpenSSL 3.5.6
|
|
OpenSSL Project
|
|
- アルゴリズムのダウングレード(CWE-757) [その他]
|
|
- CVE-2026-2673
|
|
- JVN : JVNVU#92815756
|
|
|
