OpenSSL Projectは4月7日(現地時間)、「OpenSSL 3.6.2」をリリースした。
「OpenSSL」は、TLS/SSLプロトコルをはじめとする暗号通信機能を提供するオープンソースライブラリであり、Webサーバや各種ネットワークソフトウェアで広く利用されている。「OpenSSL 3.6.2」は、OpenSSL 3.6系列のメンテナンスおよびセキュリティアップデートに当たる。
「OpenSSL 3.6.2」では、複数の脆弱性の修正を含む各種不具合修正および安定性の向上が行われている。主な修正内容は以下の通り。
〇CVE-2025-15468:未知の暗号ID処理におけるNULLポインタ参照
〇CVE-2025-15469:openssl dgstにおける大容量入力の切り詰め問題
〇CVE-2025-66199:TLS 1.3 CompressedCertificate処理における過剰メモリ割り当て
〇CVE-2025-68160:BIO処理におけるヒープバッファ書き込み問題
〇CVE-2025-69420:ASN.1検証不備による処理不正
〇CVE-2025-69421:PKCS#12処理におけるNULLポインタ参照
〇CVE-2026-22795:PKCS#12解析におけるASN.1検証不備
〇CVE-2026-22796:PKCS7処理における型混同問題
など。
これらの脆弱性はいずれも低(Low)または中程度の影響と評価されているが、悪用されるとクラッシュやサービス拒否(DoS)を引き起こす危険がある。
「OpenSSL 3.6.2」は、GitHubから入手できる。
リリースノート
「OpenSSL」は、TLS/SSLプロトコルをはじめとする暗号通信機能を提供するオープンソースライブラリであり、Webサーバや各種ネットワークソフトウェアで広く利用されている。「OpenSSL 3.6.2」は、OpenSSL 3.6系列のメンテナンスおよびセキュリティアップデートに当たる。
「OpenSSL 3.6.2」では、複数の脆弱性の修正を含む各種不具合修正および安定性の向上が行われている。主な修正内容は以下の通り。
〇CVE-2025-15468:未知の暗号ID処理におけるNULLポインタ参照
〇CVE-2025-15469:openssl dgstにおける大容量入力の切り詰め問題
〇CVE-2025-66199:TLS 1.3 CompressedCertificate処理における過剰メモリ割り当て
〇CVE-2025-68160:BIO処理におけるヒープバッファ書き込み問題
〇CVE-2025-69420:ASN.1検証不備による処理不正
〇CVE-2025-69421:PKCS#12処理におけるNULLポインタ参照
〇CVE-2026-22795:PKCS#12解析におけるASN.1検証不備
〇CVE-2026-22796:PKCS7処理における型混同問題
など。
これらの脆弱性はいずれも低(Low)または中程度の影響と評価されているが、悪用されるとクラッシュやサービス拒否(DoS)を引き起こす危険がある。
「OpenSSL 3.6.2」は、GitHubから入手できる。
(川原 龍人/びぎねっと)
[関連リンク]リリースノート
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
