VU#862559: crypton-x509-valida... ノート

VU#862559: crypton-x509-validation HaskellライブラリはX.509 NameConstraintsを強制しません

Haskell TLSソフトウェアスタックにおいて、Haskellプログラミング言語で構築されたアプリケーションに影響を与える重大な脆弱性が発見されました。具体的には、「crypton-x509-validation」ライブラリがNameConstraintsセキュリティ機能を強制しないという問題です。RFC 5280で定義されているNameConstraintsは、証明書発行局が発行できる証明書のドメインを制御するために不可欠です。この見落としにより、サブCAを侵害した攻撃者は、意図された範囲を超えたドメインの証明書を発行できるようになります。その結果、これらの悪意のある証明書は、脆弱なHaskell TLS接続によって受け入れられることになります。これにより、攻撃者は暗号化されたセッションを完全に可視化できるようになります。この脆弱性の影響は、機密性の高い金融情報や認証情報の盗難につながる可能性があります。委任された公開鍵基盤構造を利用している業界は特にリスクにさらされています。crypton-x509-validationのバージョン1.9.1より前のバージョンが影響を受けます。修正はcrypton-x509-validationライブラリのバージョン1.9.1で利用可能です。このセキュリティリスクを軽減するために、ユーザーは直ちに修正されたバージョンに更新することを強く推奨します。この脆弱性はCVE-2026-9648として追跡されています。