MEDIUMCVE-2026-40253CVSS 6.8

openCryptoki: asn1.c における BER/DER デコーダーのメモリ安全でない脆弱性

Q: CVE-2026-40253 とは何ですか？（openCryptoki）

BER (Basic Encoding Rules) と DER (Distinguished Encoding Rules) は、暗号で一般的に使用される ASN.1 データのエンコード形式です。

Q: openCryptoki の CVE-2026-40253 による影響を受けていますか？

プログラムが割り当てられていないメモリ領域にアクセスしようとすることであり、クラッシュや悪意のあるコードの実行につながる可能性があります。

Q: openCryptoki の CVE-2026-40253 を修正するにはどうすればよいですか？

Linux および AIX 環境で openCryptoki バージョン 3.26.0 以前を使用しているシステム。

Q: CVE-2026-40253 は積極的に悪用されていますか？

openCryptoki を使用するサービスへのアクセスを制限し、システムを疑わしいアクティビティについて監視します。

Q: CVE-2026-40253 に関する openCryptoki の公式アドバイザリはどこで確認できますか？

openCryptoki のセキュリティアドバイザリと NVD (National Vulnerability Database) などの脆弱性データベースを参照してください。

プラットフォーム

コンポーネント

opencryptoki

修正版

3.26.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

openCryptoki は、PKCS#11 ライブラリです。この脆弱性により、攻撃者は悪意のある BER/DER データを送信し、バッファオーバーフローを引き起こす可能性があります。影響を受けるバージョンは 1.0.0 から 3.26.0 までです。バージョン 3.26.1 で修正されました。

影響と攻撃シナリオ

openCryptoki のバージョン 3.26.0 以前に存在する CVE-2026-40253 は、共有の共通ライブラリ (asn1.c) 内の BER/DER デコード関数における重大なセキュリティ脆弱性です。この脆弱性により、攻撃者は BER 長度フィールドを制御できるようになります。なぜなら、これらのフィールドは実際のバッファ境界に対して検証されないためです。これにより、バッファオーバーフローが発生し、任意のコードの実行やサービス拒否につながる可能性があります。すべてのプリミティブデコーダ (berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING, および berdecodeCHOICE) が影響を受けるため、攻撃対象領域が拡大します。

悪用の状況

攻撃者は、openCryptoki を使用するサービスに悪意のある BER/DER データを送信することで、この脆弱性を悪用する可能性があります。BER 長度フィールドを操作することで、攻撃者はプログラムに割り当てられたバッファの外部にあるデータを読み込ませ、任意のコードの実行やサービス拒否につながる可能性があります。悪用の複雑さは、openCryptoki を使用する特定のアプリケーションと、それを実行するユーザーの権限によって異なります。バッファ境界の検証がないことは、この脆弱性を特に懸念されるものにしています。

リスク対象者翻訳中…

Systems relying on openCryptoki for cryptographic operations, particularly those handling untrusted input, are at risk. This includes applications using openCryptoki as a PKCS#11 provider for authentication, encryption, or digital signatures. Shared hosting environments where multiple applications share the same openCryptoki library are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -g "openCryptoki" -f | grep -i "error"

• c: Review code for calls to berdecodeINTEGER, berdecodeSEQUENCE, berdecodeOCTETSTRING, berdecodeBITSTRING, and berdecodeCHOICE functions, paying close attention to buffer handling and length validation. • generic web: Inspect network traffic for unusual BER/DER encoded payloads being sent to applications using openCryptoki.

攻撃タイムライン

2026-04-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントopencryptoki

ベンダーopencryptoki

影響範囲修正版

<= 3.26.0 – <= 3.26.03.26.1

弱点分類 (CWE)

CWE-125

タイムライン

予約済み2026-04-10
公開日2026-04-16
更新日2026-04-17
EPSS 更新日2026-04-24

緩和策と回避策

推奨される軽減策は、openCryptoki をバージョン 3.26.1 以降にアップグレードすることです。このバージョンは、BER/DER デコードプロセス中に適切なバッファ境界検証を実装することで脆弱性を修正します。その間は、openCryptoki を使用するサービスへのアクセスを信頼できるユーザーとシステムに制限してください。BER/DER データ操作に関連する疑わしいアクティビティについてシステムを監視することも、潜在的な攻撃を検出するのに役立ちます。このアップデートをできるだけ早く適用することが、この脆弱性の悪用からシステムを保護するために不可欠です。

修正方法翻訳中…

Actualizar la biblioteca openCryptoki a la versión 3.26.1 o superior para mitigar las vulnerabilidades de seguridad de memoria. La actualización corrige la falta de validación de los límites del búfer en los decodificadores BER/DER, previniendo así posibles lecturas fuera de los límites.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40253 とは何ですか？（openCryptoki）