OpenSSLの複数の脆弱性(Moderate: CVE-2026-31790, Low: CVE-2026-28386, CVE-2026-28387, CVE-2026-28388, CVE-2026-28389, CVE-2026-28390, CVE-2026-31789)と3.6.2, 3.5.6, 3.4.5, 3.3.7, 3.0.20, 1.1.1zg, 1.0.2zpリリース

04/07/2026にOpenSSLの複数の脆弱性(Moderate: CVE-2026-31790, Low: CVE-2026-28386, CVE-2026-28387, CVE-2026-28388, CVE-2026-28389, CVE-2026-28390, CVE-2026-31789)と3.6.2, 3.5.6, 3.4.5, 3.3.7, 3.0.20, 1.1.1zg, 1.0.2zpが公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

一次情報源

CVSS/プライオリティ

  • CVE-2026-31790
    • 影響するバージョン
      • OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0
    • Priority/CVSS SCORE
      • Vendor: Moderate
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): 5.9 Moderate
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
    • EPSS Score/Percentile
      • DATE(JST): 2026-04-07
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-28386
    • 影響するバージョン
      • OpenSSL 3.6
    • Priority/CVSS SCORE
      • Vendor: Low
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-04-07
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-28387
    • 影響するバージョン
      • OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0, 1.1.1
    • Priority/CVSS SCORE
      • Vendor: Low
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-04-07
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-28388
    • 影響するバージョン
      • OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0, 1.1.1, 1.0.2
    • Priority/CVSS SCORE
      • Vendor: Low
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-04-07
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-28389
    • 影響するバージョン
      • OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0, 1.1.1, 1.0.2
    • Priority/CVSS SCORE
      • Vendor: Low
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-04-07
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-28390
    • 影響するバージョン
      • OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0, 1.1.1, 1.0.2
    • Priority/CVSS SCORE
      • Vendor: Low
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-04-07
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-31789
    • 影響するバージョン
      • OpenSSL 3.6, 3.5, 3.4, 3.3, 3.0
    • Priority/CVSS SCORE
      • Vendor: Low
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-04-07
      • EPSS: Not Available
      • Percentile: Not Available

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.cve.org/CVERecord?id=CVE-2026-31790
    • RSA KEM RSASVE カプセル化失敗時の不正な処理
    • RSASVE keyによるカプセル化を使用して秘密暗号化キーを確立するアプリケーションは、初期化されていないメモリバッファを悪意のあるピアに送信する可能性があります。初期化されていないバッファには、前回のアプリケーションプロセス実行時に生成された機密データが含まれている可能性があり、攻撃者への機密データ漏洩につながる可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-28386
    • X86-64でAVX-512を使用している場合にAES-CFB-128で境界外読み込みが発生する可能性
    • AVX-512・かつVAESをサポートするシステムでAES-CFB128による暗号化/復号化を使用するアプリケーションでは、部分的な暗号ブロックを処理する際に、最大15バイトの範囲外読み取りを引き起こす可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-28387
    • DANEクライアントコードでのUse-after-freeの可能性
    • DANE TLSAベースのサーバー認証を実行する、通常とは異なる構成のクライアントと、通常とは異なるサーバーのDANE TLSAレコードが組み合わさると、クライアント側でuse-after-freeまたはdouble-freeが発生する可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-28388
    • Delta CRLを処理する際のNULLポインタ被参照の可能性
    • Delta CRLインジケーター拡張を含むDelta CRLを処理する際に、必要なCRL拡張番号が欠落している場合にはNULLポインタ被参照が発生する可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-28389
    • CMS KeyAgreeRecipientInfoを処理する際のNULLポインタ被参照の可能性
    • KeyAgreeRecipientInfoを含む細工されたCMS EnvelopedDataメッセージの処理中に、NULLポインタの被参照が発生する可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-28390
    • CMS KeyTransportRecipientInfoを処理する際のNULLポインタ被参照の可能性
    • KeyTransoportInfoを含む細工されたCMS EnvelopedDataメッセージの処理中に、NULLポインタの被参照が発生する可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-31789
    • 16進数への変換中のヒープバッファーオーバーフローの可能性
    • 過度に大きなOCTET STRING値を16進数文字列に変換すると、32ビットプラットフォームでヒープバッファオーバーフローが発生する可能性が有ります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました