概要 #
警告! 掲載情報はあくまで参考目的であり、正確性・完全性・最新性を保証するものではありません。
ご利用にあたっては、公式サイト等での確認を前提とし、最終的な判断は自己責任でお願いいたします。
2025年5月22日、OpenSSLプロジェクトは OpenSSL 3.5 に関する新たな脆弱性 CVE-2025-4575 を公表しました。
この問題は openssl x509 コマンドの -addreject オプションに起因するもので、特定の用途で信頼を拒否する設定が、意図に反して信頼用途として登録されてしまうという誤動作となります。
本脆弱性は コマンドラインツール利用時にのみ影響し、FIPS モジュールや他の OpenSSL バージョンには影響しません。
重要度 #
2025年5月25日の19時時点で本脆弱性の重大度について「OpenSSL」公式サイトではLow(低)と評価されております。
以下は「OpenSSL」にて公開されているセキュリティポリシーとなります。
セキュリティポリシーまたNVDに記載されているISA-ADP評価は以下となっております。
| 項目 | 内容 |
|---|---|
| 攻撃区分 (AV) | Network(ネットワーク経由) |
| 攻撃条件の複雑さ (AC) | Low(低) |
| 必要な権限レベル (PR) | None(不要) |
| ユーザー関与 (UI) | None(不要) |
| スコープ (S) | Unchanged(影響範囲なし) |
| 機密性への影響 (C) | None(なし) |
| 完全性への影響 (I) | Low(軽微な改ざんの可能性) |
| 可用性への影響 (A) | Low(軽微なサービス影響) |
方針 #
2025年5月25日の19時時点では該当の脆弱性は重要度「低」と評価されており本件単独の修正のために新たなリリースは行われていません。
その為、今後の 3.5 系メンテナンスリリース(3.5.1)にて修正が取り込まれ解消する見込みとなっております。
該当の脆弱性については以下にて修正されコミットされております。
修正コミット追加情報 #
無し