概要 #
2025年5月22日、OpenSSLプロジェクトは OpenSSL 3.5 に関する新たな脆弱性 CVE-2025-4575 を公表しました。
この問題は openssl x509 コマンドの -addreject オプションに起因するもので、特定の用途で信頼を拒否する設定が、意図に反して信頼用途として登録されてしまうという誤動作となります。
本脆弱性は コマンドラインツール利用時にのみ影響し、FIPS モジュールや他の OpenSSL バージョンには影響しません。
重要度 #
2025年5月25日の19時時点で本脆弱性の重大度について「OpenSSL」公式サイトではLow(低)と評価されております。
以下は「OpenSSL」にて公開されているセキュリティポリシーとなります。
セキュリティポリシーまたNVDに記載されているISA-ADP評価は以下となっております。
| 項目 | 内容 |
|---|---|
| 攻撃区分 (AV) | Network(ネットワーク経由) |
| 攻撃条件の複雑さ (AC) | Low(低) |
| 必要な権限レベル (PR) | None(不要) |
| ユーザー関与 (UI) | None(不要) |
| スコープ (S) | Unchanged(影響範囲なし) |
| 機密性への影響 (C) | None(なし) |
| 完全性への影響 (I) | Low(軽微な改ざんの可能性) |
| 可用性への影響 (A) | Low(軽微なサービス影響) |
方針 #
2025年5月25日の19時時点では該当の脆弱性は重要度「低」と評価されております。
該当の脆弱性については以下にて修正されコミットされております。
修正コミットまた2025年7月1日に修正リリースとして 3.5 系メンテナンスリリース(3.5.1)が公開されております。
追加情報 #
| ディストリビューション | 影響状況 | 備考 |
|---|---|---|
| Red Hat | 影響なし | 現在サポートされている製品には影響なし |
| Debian | 一部影響あり | trixie(3.5.0-1)で影響あり/他バージョンは修正済み |
| Ubuntu | 影響なし | edk2、openssl、openssl1.0 にて影響なし |
| openSUSE | 影響なし | 製品に影響なし |
RHELへの影響について #
RedHatでは現在サポートされている製品には影響がないことが公表されております。
詳細については、以下の公式ページをご参照ください。
Red Hat CVEデータベース(CVE-2025-4575)
Debianへの影響について #
Debianではtrixie(3.5.0-1)リリースバージョンにて「vulnerable(影響あり)」である事が公表されております。
その他のリリースバージョンでは「fixed(修正済み)」記載となっております。
詳細については、以下の公式ページをご参照ください。
Debianセキュリティトラッカー(CVE-2025-4575)
ubuntuへの影響について #
ubuntuでは以下のパッケージで影響がないことが公表されております。
- edk2
- openssl
- openssl
- openssl1.0
詳細については、以下の公式ページをご参照ください。
ubuntu セキュリティ情報(CVE-2025-4575)
openSUSEへの影響について #
openSUSEでは製品に影響がないことが公表されております。
詳細については、以下の公式ページをご参照ください。
openSUSE セキュリティ情報(CVE-2025-4575)