製品・ソフトウェアに関する情報
Vulnerability Search
OpenSSL ProjectのOpenSSLにおける暗号化処理の不備に関する脆弱性
Title OpenSSL ProjectのOpenSSLにおける暗号化処理の不備に関する脆弱性
Summary

問題の概要: EVP_PKEY_derive_set_peer() が DHX (X9.42) ピアキーで呼び出された場合、ピアキーの部分群メンバーシップの検証が適切に行われません。影響の概要: 攻撃者が X9.42 キーに被害者の p および g パラメータ、偽造された q = r (コファクター (p−1)/q_local の小さな素因数)、および階数 r の公開値 Y を提示すると、少数の鍵交換試行で被害者の秘密鍵を回復できます。EVP_PKEY_derive_set_peer() は DHX (X9.42) ピアキーで呼ばれた場合、部分群メンバーシップ検査 Y^q ≡ 1 (mod p) にピア自身の q パラメータを使用し、ローカル鍵の q は使用しません。ピアのドメインパラメータは秘密鍵のドメインパラメータと照合されますが、q の値は比較されません。攻撃者が被害者の p、g、偽造された q = r、小さな素因数であるコファクター、階数 r の公開値 Y を含む X9.42 キーを提示すると、すべての検査を通過します。共有秘密は r 個の異なる値しか持たず、priv mod r が漏洩します。コファクターの小さな素因数それぞれについてこれを繰り返し、中国剰余定理(CRT)により完全な秘密鍵を回復できます(Lim-Lee / 小部分群閉じ込め攻撃)。現実的な攻撃対象は狭い範囲に限られ、主に長寿命の RA/CA DHX 鍵を持つ CMP の導入および X9.42 DHX 静的鍵を用いた対話的プロトコルにおける企業または政府のカスタムアプリケーションに限定されるため、重大度は低に分類されました。FIPS モジュールのバージョン 4.0、3.6、3.5、3.4、および 3.0 がこの問題の影響を受けます。

Possible impacts ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 9, 2026, midnight
Registration Date June 17, 2026, 3:46 p.m.
Last Update June 17, 2026, 3:46 p.m.
CVSS3.0 : 低
Score 3.7
Vector CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Affected System
OpenSSL Project
OpenSSL 3.0.0 以上 3.0.21 未満
OpenSSL 3.4.0 以上 3.4.6 未満
OpenSSL 3.5.0 以上 3.5.7 未満
OpenSSL 3.6.0 以上 3.6.3 未満
OpenSSL 4.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月17日]
  掲載		 June 17, 2026, 3:46 p.m.
NVD Vulnerability Information
CVE-2026-42770
Summary

Issue summary: When EVP_PKEY_derive_set_peer() is called with a DHX (X9.42)
peer key, the peer key is not properly checked for the subgroup membership.

Impact summary: A malicious peer which presents an X9.42 key carrying the
victim's p and g parameters, a forged q = r (a small prime factor of the
cofactor (p−1)/q_local), and a public value Y of order r can recover the
victim's private key after a small number of key exchange attempts.

When EVP_PKEY_derive_set_peer() is called with a DHX (X9.42) peer key, the
subgroup membership check Y^q ≡ 1 (mod p) is performed using the peer's
own q parameter, not the local key's q. The peer's domain parameters are
then matched against the domain parameters of the private key, but the value
of q is not compared.

A malicious peer who presents an X9.42 key carrying the victim's p, g,
a forged q = r (a small prime factor of the cofactor), and a public
value Y of order r passes all checks. The shared secret then takes only
r distinct values, leaking priv mod r. Repeating for each small-prime
factor of the cofactor and combining via CRT recovers the full private
key (Lim–Lee / small-subgroup-confinement attack).

The realistic attack surface is narrow: principally CMP deployments with
long-lived RA/CA DHX keys and bespoke enterprise or government applications
using X9.42 DHX static keys with interactive protocols and therefore this
issue was assigned Low severity.

The FIPS modules in 4.0, 3.6, 3.5, 3.4, and 3.0 are affected by this
issue.

Publication Date June 10, 2026, 2:17 a.m.
Registration Date June 10, 2026, 4:17 a.m.
Last Update June 16, 2026, 11:58 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.0.0 3.0.21
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.4.0 3.4.6
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.5.0 3.5.7
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* 3.6.0 3.6.3
cpe:2.3:a:openssl:openssl:4.0.0:-:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List