製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

OpenSSL ProjectのOpenSSLにおける境界外読み取りに関する脆弱性

タイトル	OpenSSL ProjectのOpenSSLにおける境界外読み取りに関する脆弱性
概要	問題の概要: アプリケーションが S/MIME メッセージの検証時などに、X509_VERIFY_PARAM_set1_email を呼び出して細工されたメールアドレスを検証すると、範囲外読み取りが発生する可能性があります。影響の概要: この範囲外読み取りによって攻撃者にデータが直接漏洩することはありません。最も可能性の高い結果はクラッシュおよびサービス拒否（DoS）となります。X509_VERIFY_PARAM_[set\|add]_email() から呼び出される内部の補助関数がメールアドレスのローカル部を検証する際に誤った長さを使用していました。これにより、ローカル部の64バイト制限が適用されなかったり、範囲外読み取りが発生してクラッシュを引き起こす可能性があります。このバグは細工された From: アドレスを含むメールメッセージを用いた S/MIME 検証を通じて到達可能であり、クラッシュを引き起こす可能性があります。この問題の影響を受けるコードは OpenSSL FIPS モジュールの境界外にあるため、FIPS モジュールには影響しません。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月9日0:00
登録日	2026年6月17日15:46
最終更新日	2026年6月17日15:46

CVSS3.0 : 警告
スコア	6.2
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

OpenSSL Project

OpenSSL 4.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42771	https://www.cve.org/CVERecord?id=CVE-2026-42771
National Vulnerability Database (NVD)
2	CVE-2026-42771	https://nvd.nist.gov/vuln/detail/CVE-2026-42771

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-125	https://cwe.mitre.org/data/definitions/125.html

ベンダー情報

No	名前	URL
OpenSSL Library
1	https://openssl-library.org/news/secadv/20260609.txt	https://openssl-library.org/news/secadv/20260609.txt

その他

No	名前	URL
関連文書
1	Fix length miscalculation in validate_email openssl/openssl@6cd1876 GitHub	https://github.com/openssl/openssl/commit/6cd187689f8180c1f8a3acde21f88190c4a20de7

変更履歴

No	変更内容	変更日
1	[2026年06月17日] 掲載	2026年6月17日15:46

NVD脆弱性情報

CVE-2026-42771

概要	Issue summary: When the X509_VERIFY_PARAM_set1_email is called by an application to validate a crafted e-mail address, such as during S/MIME message validation, an out of bounds read can happen. Impact summary: This out of bounds read will not directly exfiltrate the data read to the attacker so the most likely result is a crash and a Denial of Service. An internal helper function called from X509_VERIFY_PARAM_[set\|add]_email() used a wrong length when validating the local part of an email address. This could cause the 64 octet limit on the local part of an email address to be not enforced, or cause an out of bound read and potentially a crash. The bug is reachable via S-MIME validation with a crafted From: address supplied in an email message that can potentially cause a crash. No FIPS modules are affected by this issue as the affected code is outside the OpenSSL FIPS module boundary.
公表日	2026年6月10日2:17
登録日	2026年6月10日4:17
最終更新日	2026年6月16日11:57

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:openssl:openssl:4.0.0:-::::::

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/openssl/openssl/commit/6cd187689f8180c1f8a3acde21f88190c4a20de7	openssl-security@openssl.org
2	https://openssl-library.org/news/secadv/20260609.txt	openssl-security@openssl.org

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-125	境界外読み取り	https://cwe.mitre.org/data/definitions/125.html