公開日:2026/03/17 最終更新日:2026/03/17

JVNVU#92815756
OpenSSLにおけるTLS 1.3鍵交換グループの選択に関する問題(OpenSSL Security Advisory [13th March 2026])

概要

OpenSSL Projectより、OpenSSL Security Advisory [13th March 2026]が公開されました。

影響を受けるシステム

  • OpenSSL 3.6.2より前の3.6系バージョン
  • OpenSSL 3.5.6より前の3.5系バージョン
バージョン3.4、3.3、3.0、1.0.2および1.1.1は本脆弱性の影響を受けません。
OpenSSL FIPSモジュールは本問題の影響を受けません。

詳細情報

OpenSSL ProjectよりOpenSSL Security Advisory [13th March 2026]が公開されました。

深刻度-低(Severity:Low)

  • OpenSSLにはTLS 1.3サーバーが設定した優先順位どおりに鍵交換グループを選択できない問題が存在します(CWE-757、CVE-2026-2673)。この問題はTLS 1.3の鍵交換グループ設定でDEFAULTキーワードを使用して既定のグループを含めた場合に発生する可能性があります。

想定される影響

クライアントとサーバーの双方が、より優先される鍵交換グループをサポートしている場合でも、優先度の低い鍵交換グループが使用される可能性があります。

対策方法

アップデートする
2026年3月13日現在、本脆弱性を修正したリリースは提供されていません。
本脆弱性の深刻度は低と評価されており、OpenSSL 3.6系、3.5系の次のリリースで修正される予定です。
OpenSSL gitリポジトリ上のソースコードでは、本脆弱性はすでに修正されています。

  • OpenSSL 3.6.2
  • OpenSSL 3.5.6

ベンダ情報

ベンダ リンク
OpenSSL Project OpenSSL Security Advisory [13th March 2026]
Commit 2157c9d
Commit 85977e0

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia