OpenSSL 3.5.0 < 3.5.1 の脆弱性

medium Nessus プラグイン ID 237112

概要

リモートサービスは脆弱性の影響を受けます。

説明

リモートホストにインストールされている OpenSSL は、3.5.1 より前のバージョンです。したがって、3.5.1 のアドバイザリに記載されている脆弱性の影響を受けます。

- 問題の要約: openssl x509 アプリケーションで -addreject オプションを使用すると、証明書に対して拒否された使用ではなく、信頼できる使用が追加されます。影響の概要: ユーザーが、信頼できる証明書を特定の用途で拒否させようとすると、その用途では信頼できるものとしてマークされます。コードのマイナーなリファクタリング中にコピーアンドペーストのエラーがあるため、OpenSSL 3.5 バージョンでこの問題が発生しました。たとえば、信頼できる CA 証明書が、CMS 署名認証ではなく TLS サーバーを認証する目的でのみ信頼されるべきで、CMS 署名認証が -addreject オプションで拒否されたものとしてマークされるように意図されている場合、その結果の CA 証明書は CMS 署名認証の目的で信頼されます。openssl x509 コマンドラインアプリケーションを使用して拒否された使用を追加する、信頼できる証明書形式を使用するユーザーのみがこの問題の影響を受けます。コマンドラインアプリケーションにのみ影響するこれらの問題は、重要度低として扱われます。3.5、3.4、3.3、3.2、3.1、および 3.0 の FIPS モジュールは、この問題の影響を受けません。OpenSSL 3.4、3.3、3.2、3.1、3.0、1.1.1、および 1.0.2 もこの問題の影響を受けません。
(CVE-2025-4575)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

OpenSSL バージョン 3.5.1 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?71c5cf95

https://openssl-library.org/news/secadv/20250522.txt

http://www.nessus.org/u?eac4598c

https://www.cve.org/CVERecord?id=CVE-2025-4575

プラグインの詳細

深刻度: Medium

ID: 237112

ファイル名: openssl_3_5_1.nasl

バージョン: 1.2

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2025/5/22

更新日: 2025/5/30

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.5

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-4575

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:openssl:openssl

必要な KB アイテム: installed_sw/OpenSSL

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/5/22

脆弱性公開日: 2025/5/22

参照情報

CVE: CVE-2025-4575

IAVA: 2025-A-0378