独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月10日、OpenSSLにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・CVE-2026-31790
3.6.2より前の3.6系バージョン
3.5.6より前の3.5系バージョン
3.4.5より前の3.4系バージョン
3.3.7より前の3.3系バージョン
3.0.20より前の3.0系バージョン
※各対象バージョンのFIPSモジュールも本脆弱性の影響を受ける
・CVE-2026-28386
3.6.2より前の3.6系バージョン
※FIPSモジュールも本脆弱性の影響を受ける
・CVE-2026-28387
3.6.2より前の3.6系バージョン
3.5.6より前の3.5系バージョン
3.4.5より前の3.4系バージョン
3.3.7より前の3.3系バージョン
3.0.20より前の3.0系バージョン
1.1.1zgより前の1.1.1系バージョン
※各対象バージョンのFIPSモジュールは本脆弱性の影響を受けない
・CVE-2026-28388、CVE-2026-28389、CVE-2026-28390
3.6.2より前の3.6系バージョン
3.5.6より前の3.5系バージョン
3.4.5より前の3.4系バージョン
3.3.7より前の3.3系バージョン
3.0.20より前の3.0系バージョン
1.1.1zgより前の1.1.1系バージョン
1.0.2zpより前の1.0.2系バージョン
※各対象バージョンのFIPSモジュールは本脆弱性の影響を受けない
・CVE-2026-31789
3.6.2より前の3.6系バージョン
3.5.6より前の3.5系バージョン
3.4.5より前の3.4系バージョン
3.3.7より前の3.3系バージョン
3.0.20より前の3.0系バージョン
※各対象バージョンのFIPSモジュールは本脆弱性の影響を受けない
OpenSSL ProjectよりOpenSSL Security Advisory [7th April 2026]が公開されている。想定される影響は各脆弱性により異なるが、下記のような影響を受ける可能性がある。
【深刻度:中(Severity: Moderate) 】
・RSA KEM RSASVEカプセル化における不適切なエラー処理(CVE-2026-31790)
RSA_public_encrypt()において、RSA暗号化が失敗した際の戻り値判定が不適切なため、失敗していても成功として扱ってしまい、結果として出力バッファが未初期化のまま送信される可能性がある
→機微な情報が漏えいする
【深刻度:低(Severity:Low)】
・AES-CFB-128処理時の境界外読み取り(CVE-2026-28386)
AVX-512およびVAESをサポートするシステム上でAES-CFB128による暗号化または復号を行う場合、暗号ブロックを処理する際に最大15バイトの境界外読み取りが発生する
→サービス運用妨害(DoS)状態が引き起こされる
・DANEクライアントコードにおける解放済みメモリ使用(use-after-free)(CVE-2026-28387)
DANE検証処理において、TLSAレコードの組み合わせにより解放済みメモリ使用(use-after-free)または二重解放(double free)が発生する
→サービス運用妨害(DoS)状態が引き起こされたり、任意のコードが実行されたりする
・Delta CRL処理時のNULLポインタ参照(CVE-2026-28388)
Delta CRL Indicator拡張を含むDelta CRLを処理する際に、必須項目であるCRL Number拡張が欠落していると、NULLポインタ参照が発生する
→サービス運用妨害(DoS)状態が引き起こされる
・KeyAgreeRecipientInfo処理時のNULLポインタ参照(CVE-2026-28389)
CMS EnvelopedDataメッセージを処理する際、KeyAgreeRecipientInfoの処理過程でKeyEncryptionAlgorithmIdentifierのフィールドが欠落しているとNULLポインタ参照が発生する
→サービス運用妨害(DoS)状態が引き起こされる
・CMS KeyTransportRecipientInfo処理時のNULLポインタ参照(CVE-2026-28390)
CMS EnvelopedDataメッセージを処理する際、KeyTransportRecipientInfo処理過程でSourceFuncアルゴリズムのパラメータが欠落しているとNULLポインタ参照が発生する
→サービス運用妨害(DoS)状態が引き起こされる
・16進数変換時におけるヒープベースのバッファオーバーフロー(CVE-2026-31789)
極端に大きなOCTET STRINGを16進文字列に変換する際、32bit環境においてヒープベースのバッファオーバーフローが発生する
→サービス運用妨害(DoS)状態が引き起こされたり、任意のコードが実行されたりする
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお開発者は、各脆弱性への対策として下記のバージョンをリリースしている。
OpenSSL 3.6.2
OpenSSL 3.5.6
OpenSSL 3.4.5
OpenSSL 3.3.7
OpenSSL 3.0.20
OpenSSL 1.1.1zg(プレミアムサポートカスタマのみ)
OpenSSL 1.0.2zp(プレミアムサポートカスタマのみ)
