2026年1月27日、OpenSSLプロジェクトは計11件の脆弱性を修正したセキュリティアップデートを公開した。今回のリリースは、深刻度「High」が1件、「Moderate」が1件、そして「Low」が9件という、まさに「脆弱性ラッシュ」とも言える異例の規模である。
特にOpenSSL 3.x系を利用しているシステムにおいては、認証なしで攻撃可能な脆弱性が含まれており、インフラ担当者や開発者は迅速な対応を迫られている。
今回の「ラッシュ」の内容
公開された11件の脆弱性は、メモリ破損、DoS攻撃、データの整合性欠如など多岐にわたる。海外のエンジニアコミュニティでは、特定のセキュリティリサーチチーム(Aisle Research等)による集中的な監査の結果ではないかとの見方が強い。
主要な脆弱性の内訳は以下の通りだ。
| 深刻度 | 件数 | 主な内容 |
|---|---|---|
| High | 1件 | CMS解析時のスタックバッファオーバーフロー |
| Moderate | 1件 | PKCS#12パラメータ検証不備によるオーバーフロー |
| Low | 9件 | QUICのNULL参照、dgstコマンドのデータ切り捨て、メモリ枯渇など |
注目すべき脆弱性とリスク
1. CVE-2025-15467 (High):認証前のスタックオーバーフロー
今回のアップデートにおける最大の懸念点である。CMS(Cryptographic Message Syntax)メッセージの解析処理において、AEADパラメータのコピー時にバッファオーバーフローが発生する。
- リスク: 攻撃者が細工したメッセージを送りつけるだけで、認証や署名検証が行われる前にメモリを破壊できる。最悪の場合、リモートコード実行(RCE)に繋がる恐れがある。
2. CVE-2025-15469 (Low):dgstコマンドの16MB制限
コマンドラインツール openssl dgst を使用している場合に発生する、地味ながらも深刻なバグだ。
- リスク: Ed25519などの特定のアルゴリズムで16MB以上のファイルを扱う際、エラーを出さずにデータを切り捨てて署名を完了してしまう。これにより、ファイルの一部が保護されないまま放置されるリスクがある。
3. CVE-2025-66199 (Low):TLS 1.3 証明書圧縮によるメモリ消費
TLS 1.3の接続において、圧縮された証明書を展開する際に過大なメモリを割り当てさせることが可能。
- リスク: サービス拒否(DoS)を誘発する攻撃ベクトルとなる。
海外の反応: 「アップデートを遅らせる理由はない」
海外の技術掲示板では、「OpenSSL 3.xは多機能ゆえに、攻撃対象範囲を広げすぎている」という批判的な声も目立つ。そこで同時に「Highレベルの脆弱性が認証前に刺さる以上、パッチ適用を後回しにする選択肢はない」という結論が共有されている。
まとめ:今すぐバージョンの確認を
今回の脆弱性ラッシュは、OpenSSL 3.0から最新の3.6まで幅広く影響する。以下の修正済みバージョンがリリースされているため、自社環境の確認を急ぎたい。
- 修正バージョン: 3.6.1 / 3.5.5 / 3.4.4 / 3.3.6 / 3.0.19
「脆弱性が多すぎる」と嘆きたくなる状況だが、特に公開サーバーを運用している場合は、この週末を迎える前にパッチを当てるのが賢明だろう。
