プラットフォーム
other
コンポーネント
public_key
修正版
*
*
*
*
CVE-2026-32144は、Erlang OTPのpublickeyモジュール(pubkeyocspモジュール)における不適切な証明書検証の脆弱性です。この脆弱性は、OCSP(オンライン証明書ステータスプロトコル)の応答検証プロセスにおける欠陥により、攻撃者がCA(認証局)によって署名されていない自己署名証明書をOCSP応答として提示し、認証をバイパスすることを可能にします。影響を受けるバージョンはErlang OTP 1.16.0以降です。緩和策として、Erlang OTPのアップデートを推奨します。
この脆弱性を悪用されると、攻撃者はOCSP応答の検証をバイパスし、不正な証明書を有効とみなすことが可能になります。これにより、機密情報の漏洩、なりすまし、システムへの不正アクセスなどの深刻な被害が発生する可能性があります。特に、Erlang OTPを基盤としたシステムやアプリケーションにおいて、認証プロセスが侵害されるリスクが高まります。この脆弱性は、証明書検証の信頼性を損ない、システム全体のセキュリティを脅かす可能性があります。攻撃者は、この脆弱性を利用して、機密データへの不正アクセスや、システム制御の奪取を試みる可能性があります。
この脆弱性は、2026年4月7日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEV(Known Exploited Vulnerabilities)カタログへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。
Applications and systems utilizing Erlang OTP versions 1.16.0 and later for certificate validation, particularly those handling sensitive data or operating in untrusted network environments, are at risk. This includes systems relying on Erlang OTP for TLS/SSL connections and those integrated with third-party services that require certificate verification.
disclosure
エクスプロイト状況
EPSS
0.04% (14% パーセンタイル)
CISA SSVC
この脆弱性に対する推奨される緩和策は、Erlang OTPを最新バージョンにアップデートすることです。アップデートが利用できない場合は、OCSP応答の検証を強化し、署名検証を実装するパッチを適用するか、一時的な回避策として、OCSP検証を無効化することを検討してください。ただし、OCSP検証を無効化すると、証明書の信頼性が低下するため、慎重な検討が必要です。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、不正なOCSP応答をブロックすることも有効です。Erlang OTPのアップデート後、証明書検証が正しく機能していることを確認してください。
ライブラリ (public_key) をバージョン 1.20.4 以上、または (ssl) ライブラリをバージョン 11.5.5 以上、または OTP をバージョン 28.4.3 以上にアップデートすることで、この脆弱性を軽減できます。アップデートは、OCSP レスポンスにおける署名検証の欠如を修正し、証明書の偽造を防止します。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-32144は、Erlang OTP public_keyモジュールにおけるOCSP応答検証の脆弱性です。攻撃者はこの脆弱性を利用して、認証をバイパスする可能性があります。
Erlang OTP 1.16.0以降のバージョンを使用している場合は、影響を受ける可能性があります。
Erlang OTPを最新バージョンにアップデートすることを推奨します。
現時点では、公開されている悪用事例は確認されていませんが、悪用される可能性は否定できません。
Erlang OTPの公式アドバイザリは、Erlangプロジェクトのウェブサイトで確認できます。