JVNDB-2026-020157

OpenSSL ProjectのOpenSSLにおける暗号化処理の不備に関する脆弱性

問題の概要: EVP_PKEY_derive_set_peer() が DHX (X9.42) ピアキーで呼び出された場合、ピアキーの部分群メンバーシップの検証が適切に行われません。影響の概要: 攻撃者が X9.42 キーに被害者の p および g パラメータ、偽造された q = r (コファクター (p−1)/q_local の小さな素因数)、および階数 r の公開値 Y を提示すると、少数の鍵交換試行で被害者の秘密鍵を回復できます。EVP_PKEY_derive_set_peer() は DHX (X9.42) ピアキーで呼ばれた場合、部分群メンバーシップ検査 Y^q ≡ 1 (mod p) にピア自身の q パラメータを使用し、ローカル鍵の q は使用しません。ピアのドメインパラメータは秘密鍵のドメインパラメータと照合されますが、q の値は比較されません。攻撃者が被害者の p、g、偽造された q = r、小さな素因数であるコファクター、階数 r の公開値 Y を含む X9.42 キーを提示すると、すべての検査を通過します。共有秘密は r 個の異なる値しか持たず、priv mod r が漏洩します。コファクターの小さな素因数それぞれについてこれを繰り返し、中国剰余定理（CRT）により完全な秘密鍵を回復できます（Lim-Lee / 小部分群閉じ込め攻撃）。現実的な攻撃対象は狭い範囲に限られ、主に長寿命の RA/CA DHX 鍵を持つ CMP の導入および X9.42 DHX 静的鍵を用いた対話的プロトコルにおける企業または政府のカスタムアプリケーションに限定されるため、重大度は低に分類されました。FIPS モジュールのバージョン 4.0、3.6、3.5、3.4、および 3.0 がこの問題の影響を受けます。

OpenSSL Project

• OpenSSL 3.0.0 以上 3.0.21 未満
• OpenSSL 3.4.0 以上 3.4.6 未満
• OpenSSL 3.5.0 以上 3.5.7 未満
• OpenSSL 3.6.0 以上 3.6.3 未満
• OpenSSL 4.0.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
・当該ソフトウェアが扱う情報について、書き換えは発生しません。
・当該ソフトウェアは停止しません。

ベンダ情報を参照して適切な対策を実施してください。

OpenSSL Project

• OpenSSL Library : https://openssl-library.org/news/secadv/20260609.txt

1. 暗号化処理の不備(CWE-325) [その他]

1. CVE-2026-42770

1. National Vulnerability Database (NVD) : CVE-2026-42770
2. 関連文書 : Match the local q DHX parameter against the peer's q  openssl/openssl@3ddbb7a  GitHub
3. 関連文書 : Match the local q DHX parameter against the peer's q  openssl/openssl@ca2237a  GitHub
4. 関連文書 : Match the local q DHX parameter against the peer's q  openssl/openssl@5f452bb  GitHub
5. 関連文書 : Match the local q DHX parameter against the peer's q  openssl/openssl@7fbfde7  GitHub
6. 関連文書 : Match the local q DHX parameter against the peer's q  openssl/openssl@3da5a51  GitHub

• [2026年06月17日]
    掲載