| Title | ERLANGのErlang/OTPにおける複数の脆弱性 |
|---|---|
| Summary | Erlang OTPのpublic_key(pubkey_certモジュール)における証明書の信頼チェーンの不適切な追跡に脆弱性があります。この脆弱性により、CAでない証明書が中間発行者として受け入れられ、証明書チェーンを偽造できる可能性があります。lib/public_key/src/pubkey_cert.erlのpubkey_cert:validate_extensions/7には2つの欠陥があり、それらが組み合わさることで、basicConstraintsがcA:falseかつkeyUsage拡張がない証明書が、public_key:pkix_path_validation/3に渡されるチェーンの中間発行者として使用されてしまいます。cA:falseの条件は発行者位置にある場合に証明書を拒否せずに残りの拡張を再帰処理し、keyUsageのチェックは拡張が存在する場合のみ作動するため、keyUsageが全く存在しない証明書はkeyCertSignの強制を回避してしまいます。被害者の信頼ストア内の任意のCAが発行したbasicConstraintsがcA:falseかつkeyUsage拡張を持たないエンドエンティティ証明書を保持する者は、その証明書の秘密鍵を使用して任意のIDの偽造されたリーフ証明書に署名できます。public_key:pkix_path_validation/3はこれらのチェーンを受け入れ、その結果、OTPのsslアプリケーション上でデフォルトの検証器を使用するTLSまたはmTLSエンドポイントすべてに影響を及ぼします。これにはクライアント側でのサーバーID検証やmTLSサーバーでのクライアント証明書検証も含まれます。この問題はOTP 17.0以降のバージョンのうち、OTP 26.2.5.21、27.3.4.12、28.5.0.1、29.0.1のpublic_key 0.22から1.15.1.7、1.17.1.3、1.20.3.1、1.21.1に対応するバージョンで発生します。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 27, 2026, midnight |
| Registration Date | June 8, 2026, 12:31 p.m. |
| Last Update | June 8, 2026, 12:31 p.m. |
| CVSS3.0 : 警告 | |
| Score | 4.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
| ERLANG |
| Erlang/OTP 17.0 以上 26.2.5.21 未満 |
| Erlang/OTP 27.0 以上 27.3.4.12 未満 |
| Erlang/OTP 28.0 以上 28.5.0.1 未満 |
| Erlang/OTP 29.0 以上 29.0.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月08日] 掲載 |
June 8, 2026, 12:31 p.m. |
| Summary | Improper Following of a Certificate's Chain of Trust vulnerability in Erlang OTP public_key (pubkey_cert module) allows a non-CA certificate to be accepted as an intermediate issuer, enabling certificate chain forgery. In lib/public_key/src/pubkey_cert.erl, pubkey_cert:validate_extensions/7 contains two flaws that together allow a certificate with basicConstraints cA:false and no keyUsage extension to be used as an intermediate issuer in a chain passed to public_key:pkix_path_validation/3: the cA:false clause recurses into the remaining extensions without rejecting the certificate when it is in issuer position, and the keyUsage check only fires when the extension is present, so a certificate lacking keyUsage entirely bypasses the keyCertSign enforcement. Any party holding an end-entity certificate with basicConstraints cA:false and no keyUsage extension, issued by any CA in the victim's trust store, can use that certificate's private key to sign forged leaf certificates for arbitrary identities. public_key:pkix_path_validation/3 accepts the resulting chain, and by extension every TLS or mTLS endpoint built on the OTP ssl application that relies on the default verifier is affected, including server identity verification on the client side and client certificate verification on mTLS servers. This issue affects OTP from OTP 17.0 before OTP 26.2.5.21, 27.3.4.12, 28.5.0.1, and 29.0.1 corresponding to public_key from 0.22 before 1.15.1.7, 1.17.1.3, 1.20.3.1, and 1.21.1. |
|---|---|
| Publication Date | May 27, 2026, 11:16 p.m. |
| Registration Date | May 28, 2026, 4:11 a.m. |
| Last Update | May 27, 2026, 11:16 p.m. |