製品・ソフトウェアに関する情報

JVN脆弱性詳細

OpenSSL ProjectのOpenSSLにおけるデータの整合性検証不備に関する脆弱性

タイトル	OpenSSL ProjectのOpenSSLにおけるデータの整合性検証不備に関する脆弱性
概要	問題の概要：PKCS#12ファイルの処理において、Password-Based Message Authentication Code 1（PBMAC1）整合性メカニズムを使用するファイルに対して十分な入力検証が行われず、証明書および秘密鍵の偽造を許してしまう問題です。影響の概要：攻撃者がユーザーを偽装することで、PKCS#12ファイルを読み取るサービスが偽造された証明書および秘密鍵を256分の1の確率で受け入れてしまう可能性があります。パスワードを使用して受信ファイルの認証を行うPKCS#12ファイル受け入れサービスの場合、攻撃者はPBMAC1認証を使用し、HMACキーが1バイトのみで指定された暗号化されていないPKCS#12ファイルを作成でき、256分の1の確率で受け入れられるファイルを生成できます。これにより、サービスが攻撃者に制御された証明書と秘密鍵を受け入れてしまう事態が発生します。FIPSモジュールはこの問題の影響を受けません。なぜなら、影響を受けるコードはOpenSSL FIPSモジュールの境界外にあるためです。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月9日0:00
登録日	2026年6月16日13:38
最終更新日	2026年6月16日13:38

CVSS3.0 : 重要
スコア	7.4
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

影響を受けるシステム

OpenSSL Project

OpenSSL 3.4.0 以上 3.4.6 未満

OpenSSL 3.5.0 以上 3.5.7 未満

OpenSSL 3.6.0 以上 3.6.3 未満

OpenSSL 4.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34181	https://www.cve.org/CVERecord?id=CVE-2026-34181
National Vulnerability Database (NVD)
2	CVE-2026-34181	https://nvd.nist.gov/vuln/detail/CVE-2026-34181

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-354	https://cwe.mitre.org/data/definitions/354.html

ベンダー情報

No	名前	URL
OpenSSL Library
1	https://openssl-library.org/news/secadv/20260609.txt	https://openssl-library.org/news/secadv/20260609.txt

その他

No	名前	URL
関連文書
1	pkcs12: verify that the pbmac1 key length is safe openssl/openssl@0300eb9 GitHub	https://github.com/openssl/openssl/commit/0300eb9ddce7a0895bf301a4b0c03a9da2313a0f
2	pkcs12: verify that the pbmac1 key length is safe openssl/openssl@79eb76a GitHub	https://github.com/openssl/openssl/commit/79eb76a937e474bb7610a0a3dc57131dc8dc6610
3	pkcs12: verify that the pbmac1 key length is safe openssl/openssl@85dcbb3 GitHub	https://github.com/openssl/openssl/commit/85dcbb3abaa4878af5c8fbbe11bce708fcf984a7
4	pkcs12: verify that the pbmac1 key length is safe openssl/openssl@ec36f24 GitHub	https://github.com/openssl/openssl/commit/ec36f2417c4ddd8cabce4b4a60a3d7a7365f2d81

変更履歴

No	変更内容	変更日
1	[2026年06月16日] 掲載	2026年6月16日13:38

NVD脆弱性情報

CVE-2026-34181

概要	Issue Summary: The PKCS#12 file processing fails to perform sufficient input validation for files that use Password-Based Message Authentication Code 1 (PBMAC1) integrity mechanism allowing a certificate and private key forgery. Impact Summary: An attacker impersonating a user can cause a service reading PKCS#12 files to accept forged certificates and private keys with a 1 in 256 probability. If a service accepting PKCS#12 files is using passwords for authenticating the received files, the attacker can create unencrypted PKCS#12 files that use PBMAC1 authentication that specifies an HMAC key of only one byte, allowing them to craft a file that will be accepted with a 1 in 256 probability. That would then cause the service to accept a certificate and private key controlled by the attacker. The FIPS modules are not affected by this issue, as the affected code is outside the OpenSSL FIPS module boundary.
公表日	2026年6月10日2:17
登録日	2026年6月10日4:16
最終更新日	2026年6月16日3:13

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:openssl:openssl::::::::	3.4.0			3.4.6
cpe:2.3:a:openssl:openssl::::::::	3.5.0			3.5.7
cpe:2.3:a:openssl:openssl::::::::	3.6.0			3.6.3
cpe:2.3:a:openssl:openssl:4.0.0:-::::::

No	URL	refsource
1	https://github.com/openssl/openssl/commit/0300eb9ddce7a0895bf301a4b0c03a9da2313a0f	openssl-security@openssl.org
2	https://github.com/openssl/openssl/commit/79eb76a937e474bb7610a0a3dc57131dc8dc6610	openssl-security@openssl.org
3	https://github.com/openssl/openssl/commit/85dcbb3abaa4878af5c8fbbe11bce708fcf984a7	openssl-security@openssl.org
4	https://github.com/openssl/openssl/commit/ec36f2417c4ddd8cabce4b4a60a3d7a7365f2d81	openssl-security@openssl.org
5	https://openssl-library.org/news/secadv/20260609.txt	openssl-security@openssl.org