CVE-2026-5501: X509 証明書検証の脆弱性 in wolfSSL

この脆弱性は、攻撃者が信頼された認証局 (CA) から取得した任意のリーフ証明書 (例: Let's Encrypt の無料 DV 証明書) を利用して、任意のサブジェクト名と公開鍵を持つ偽造証明書を作成することを可能にします。攻撃者は、この偽造証明書を使用して、wolfSSL を使用するアプリケーションやサービスへの不正アクセスを試みることができます。これにより、機密情報の漏洩、データの改ざん、さらにはシステム全体の制御権の奪取につながる可能性があります。この脆弱性は、wolfSSL の TLS ハンドシェイクパス (ProcessPeerCerts) に影響を与えません。

Systems utilizing wolfSSL versions 0.0.0 through 5.9.0 are at risk, particularly those relying on the OpenSSL compatibility layer for certificate validation. This includes applications and services that handle sensitive data over TLS, such as web servers, API gateways, and VPN servers. Shared hosting environments using vulnerable wolfSSL versions are also at increased risk due to the potential for cross-tenant attacks.

• nginx: Examine Nginx error logs for unusual certificate validation failures or errors related to certificate chain construction. Use nginx -t to validate configuration after any changes.

grep -i "certificate validation failed" /var/log/nginx/error.log

• generic web: Monitor web server access logs for connections using certificates with unexpected or suspicious subject names. Use curl to test certificate validation.

curl -v https://your-website.com --dump-header - | grep Subject:

• database (mysql, redis, mongodb, postgresql): While the vulnerability is in wolfSSL, if your database uses wolfSSL for TLS, monitor database connection logs for unusual certificate fingerprints or validation errors. This is less direct but can indicate a compromised connection. • linux / server: Monitor system logs for unusual TLS connection attempts or errors related to certificate validation. Use journalctl to filter for relevant events.

journalctl -u nginx -g "certificate validation failed"

1. 2026-04-10Disclosure

   disclosure

2. 2026-04-10Patch

   patch

1. 予約済み2026-04-03
2. 公開日2026-04-10
3. 更新日2026-04-22
4. EPSS 更新日2026-04-17

この脆弱性への対応策として、wolfSSL をバージョン 5.11.0 以降にアップグレードすることを推奨します。アップグレードがシステムに影響を与える場合は、一時的な回避策として、信頼できない中間証明書をブロックするカスタムの証明書検証ルールを実装することを検討してください。また、WAF (Web Application Firewall) やリバースプロキシを使用して、不正な証明書を検出およびブロックすることも有効です。wolfSSL のセキュリティアドバイザリを参照し、最新の推奨事項を確認してください。