OpenSSLの脆弱性(Low: CVE-2024-4575)

05/23/2024 (JST) に予告通りにOpenSSLの脆弱性(Low: CVE-2024-4575)が出ています。LowではありますがOpenSSLですので、ここではこちらの脆弱性の概要を簡単にまとめてみます。

[過去関連リンク(最新5件)]

• OpenSSLの脆弱性(High: CVE-2024-12797, Low: CVE-2024-13176)
• OpenSSLの脆弱性(Low: CVE-2024-9143)
• OpenSSLの脆弱性(Moderate: CVE-2024-6119)
• OpenSSLの脆弱性(Low: CVE-2024-5535)
• OpenSSLの新バージョン(3.2.2, 3.3.1, 3.0.14, 3.1.6)リリース。Lowの修正あり

一次情報源

• OpenSSL Security Advisory [22nd May 2025]

CVSS/プライオリティ

• CVE-2024-4575
  • 影響するバージョン
    • OpenSSL 3.5
  • Priority
    • Vendor: Low
  • CVSS Score / CVSS Vector
    • N/A

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4575
  • OpenSSL x509アプリで-addrejectオプションを使用すると証明書の使用を拒否せずに信頼したものとする問題
  • ユーザが特定の用途で拒否されるような信頼された証明書を作成しようとすると、その用途では信頼できるものとしてマークされます。コードのマイナーな修正中のコピー・ペーストで問題が発生したため、OpenSSL 3.5でこの問題が発生しました。例えば、信頼できるCA証明書はTLSサーバの認証のみに信頼されるべきでCMS署名検証には信頼されるべきではない場合に、–addrejectオプションを使用してCMS署名検証をヒョ費としてマークすると、結果として得られるCA証明書はCMS署名検証の目的でも信頼されます。この問題の影響を受けるのはOpenSSL x509コマンドラインアプリケーションを使用して拒否された使用を追加するような、信頼できる証明書形式を使用しているユーザーのみのため、重大度はLowであると考えられます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-4575
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2024-4575
• Ubuntu
  • https://www.suse.com/security/cve/CVE-2024-4575.html
• SUSE/openSUSE
  • https://ubuntu.com/security/CVE-2024-4575

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://www.openssl.org/news/vulnerabilities.html