wolfSSLは、IoT機器や組込みシステム向けに設計された、小型・高速・高機能なオープンソースのSSL/TLSライブラリです。
TLS 1.3などの最新プロトコルに対応し、OpenSSLの1/20以下の軽量なROM/RAMサイズでありながら、世界2,000社以上の製品に採用されています。
C言語で開発されていて、ライセンスはGPLv2で、オープンソースです。
このこともあり、移植性が高く、ほぼすべてのオペレーティングシステム(FreeRTOS, Linux, Windows, macOSなど)に対応できています。
このwolfSSLで、重大度の大きな脆弱性が案内されています。
- CVE-2026-5194
これは、wolfSSLの複数の署名アルゴリズムに影響を与える暗号検証上の欠陥であり、証明書の検証中に不適切に脆弱なダイジェストが受け入れられてしまう可能性があるという問題です。
この脆弱性はwolfSSLの暗号検証機構の中の問題となっているため、wolfSSLの利用において、特定のアルゴリズムを利用する際にのみ問題となるということではなく、ECDSA/ECC、DSA、ML-DSA、Ed25519、Ed448など、複数のアルゴリズムに影響するものとなっています。
この脆弱性が存在する状態のシステムにおいては、偽造されたデジタルIDを本物として受け入れさせ、本来拒否すべき悪意のあるサーバ、ファイル、または接続を信頼させてしまう可能性があることになります。
CVE-2026-5194は、2026年4月8日にリリースされたwolfSSLバージョン5.9.1で修正されています。
暗号化向けのライブラリというとまず最初にイメージするのはOpenSSLかもしれません。
しかしwolfSSLはその軽量という特徴や移植性の高さから、特に組み込みシステムおよびIoT分野において、世界的に非常に高いシェアを誇るSSL/TLSライブラリです。
世界で1,000社以上の企業に採用されていて、自動車、インフラ、IoTデバイス分野では特に多く利用されています。
自社製品の要素としてwolfSSLを利用している組織は速やかに対策したものをリリースしたいところです。
そしてその成果の利用者の立場としては、利用できるようになった対策済みのバージョンを、タイムリーに適用したいですね。
Vulnerabilities in wolfSSL/wolfssl
https://github.com/wolfSSL/wolfssl?tab=readme-ov-file#vulnerabilities
| この記事をシェア |
|
|---|
