公開日:2026/03/17 最終更新日:2026/04/10

JVNVU#92815756
OpenSSLにおけるTLS 1.3鍵交換グループの選択に関する問題(OpenSSL Security Advisory [13th March 2026])

概要

OpenSSL Projectより、OpenSSL Security Advisory [13th March 2026]が公開されました。

影響を受けるシステム

  • OpenSSL 3.6.2より前の3.6系バージョン
  • OpenSSL 3.5.6より前の3.5系バージョン
バージョン3.4、3.3、3.0、1.0.2および1.1.1は本脆弱性の影響を受けません。
OpenSSL FIPSモジュールは本問題の影響を受けません。

詳細情報

OpenSSL ProjectよりOpenSSL Security Advisory [13th March 2026]が公開されました。

深刻度-低(Severity:Low)

  • OpenSSLにはTLS 1.3サーバーが設定した優先順位どおりに鍵交換グループを選択できない問題が存在します(CWE-757、CVE-2026-2673)。この問題はTLS 1.3の鍵交換グループ設定でDEFAULTキーワードを使用して既定のグループを含めた場合に発生する可能性があります。

想定される影響

クライアントとサーバーの双方が、より優先される鍵交換グループをサポートしている場合でも、優先度の低い鍵交換グループが使用される可能性があります。

対策方法

アップデートする
開発者による本脆弱性公開時点では深刻度が低であるため、OpenSSL gitリポジトリにてcommitのみが提供されました。
その後、2026年4月7日(現地時間)に本脆弱性を修正した以下のバージョンがリリースされました。

  • OpenSSL 3.6.2
  • OpenSSL 3.5.6

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [13th March 2026]
OpenSSL 3.6.2
OpenSSL 3.5.6

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2026/04/10
[対策方法]、[ベンダ情報]を更新しました