JVNDB-2026-020156 | |
OpenSSL ProjectのOpenSSLにおける境界外読み取りに関する脆弱性 | |
| 概要 | |
問題の概要: アプリケーションが S/MIME メッセージの検証時などに、X509_VERIFY_PARAM_set1_email を呼び出して細工されたメールアドレスを検証すると、範囲外読み取りが発生する可能性があります。影響の概要: この範囲外読み取りによって攻撃者にデータが直接漏洩することはありません。最も可能性の高い結果はクラッシュおよびサービス拒否(DoS)となります。X509_VERIFY_PARAM_[set|add]_email() から呼び出される内部の補助関数がメールアドレスのローカル部を検証する際に誤った長さを使用していました。これにより、ローカル部の64バイト制限が適用されなかったり、範囲外読み取りが発生してクラッシュを引き起こす可能性があります。このバグは細工された From: アドレスを含むメールメッセージを用いた S/MIME 検証を通じて到達可能であり、クラッシュを引き起こす可能性があります。この問題の影響を受けるコードは OpenSSL FIPS モジュールの境界外にあるため、FIPS モジュールには影響しません。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 6.2 (警告) [その他]
| |
| 影響を受けるシステム | |
|
| |
OpenSSL Project | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
OpenSSL Project | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/06/09 |
| 登録日 | 2026/06/17 |
| 最終更新日 | 2026/06/17 |
