Critical Authentication Bypass in OpenPubkey and OPKSSH Exposes Systems to Remote Access Risks
2025/05/15 SecurityOnline — OpenPubkey 認証プロトコルと関連ツールである OPKSSH に、2件の深刻な脆弱性が発見された。これらの脆弱性を悪用する攻撃者は、認証メカニズムの回避を達成し、不正アクセスの可能性を得る。ユーザーまたはワークロードが生成する公開鍵を、OpenID Connect (OIDC) に統合するためのプロトコル OpenPubkey は、暗号検証プロセスに深刻な欠陥があることを、最近になって明らかにした。これらの脆弱性 CVE-2025-3757/CVE-2025-4658 (CVSS v4:9.3) は、深刻度 Critical と評価されている。
OpenPubkey を使用する開発者は、OIDC の ID を公開鍵にバインドできる。それにより、既存の OpenID プロバイダーに互換性のない変更を加えることなく、alice@example.com などの ID でメッセージ署名を行うといった、安全な暗号操作が可能になる。
OpenPubkey は、ユーザー/ワークロードが生成した公開鍵を OpenID Connect (OIDC) に追加し、その OIDC アイデンティティの下で、メッセージやアーティファクトに署名できるようにする。
CVE-2025-3757:OpenPubkey 認証バイパス
OpenPubkey ライブラリのバージョン 0.10.0 未満では、細工された JWS (JSON Web Signatures) により署名検証プロセスがバイパスされるという、脆弱性が発見されている。この欠陥により、本来のアイデンティティと暗号操作の間に、OpenPubkey が確立するはずの信頼関係自体が毀損する。
CVE-2025-4658 :OPKSSH 認証バイパス
この脆弱性は、OpenPubkey を利用することで、従来からの SSH 鍵ではなく、OIDC アイデンティティによる SSH アクセスを可能にする、OPKSSH ツールにも影響を及ぼす。OPKSSH バージョン 0.5.0 未満を使用するシステムは脆弱であり、適切な認証を必要とすることなく、攻撃者に SSH アクセスを許す可能性がある。
OpenPubkey を利用するユーザーに強く推奨されるのは、バージョン 0.10.0 以降へのアップグレードである。また、OPKSSH ユーザーには、バージョン 0.5.0 以降へのアップグレードが推奨される。
自身のシステムにおける脆弱性の有無を確認するために、このアドバイザリが推奨するのは、サーバ上でのコマンド “opkssh-version” の実行である。バージョンが 0.5.0 未満と表示された場合には、アップグレードが必要となる。このアップグレードは、以下のコマンドの実行で完了する。
wget -qO- "https://raw.githubusercontent.com/openpubkey/opkssh/main/scripts/install-linux.sh" | sudo bash
OpenPubkey/OPKSSH の深刻な脆弱性が FIXとのことです。ご利用のチームは、アップデートを、お急ぎください。なお、関連トピックとして、2025/03/28 に「Cloudflare の OPKSSH が OSS として提供:SSH に Single Sign-On がやってくる」という記事を投稿しています。よろしければ、カテゴリ OpenSource と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.