事前予告で緊張走った「OpenSSL」脆弱性、各社が影響を報告 - 対象製品リストも
「OpenSSL」に脆弱性が明らかとなり、アップデートが公開された。ベンダー各社では今回の脆弱性が自社プロダクトへ与える影響について分析し、情報提供を行っている。またオランダ国立サイバーセキュリティセンターでは、脆弱性の対象製品リストをGitHubにて公開した。
当初、修正対象の脆弱性に関して、重要度がもっとも高い「クリティカル(Critical)」と予告されていたため、ネットワーク機器などを提供する各社では警戒を強め、利用者に向けてアドバイザリの準備を進めていた。
アップデートは予告どおり協定世界時11月1日に公開されたが、重要度は1段階低い「高(High)」へと引き下げられた。「CVE-2022-3602」「CVE-2022-3786」を「OpenSSL 3.0.7」にて修正し、早急に対策を講じるよう開発チームでは呼びかけている。
今回の脆弱性について、Juniper Networksでは「Junos OS Evolved」が影響を受けることを公表。「同22.1R1-EVO」には影響なく、同バージョン以降へ更新する必要がある。「Junos OS」「Mist」など7製品については影響がないことを確認。他製品についても調査を進めている。
一方、Check Point Software TechnologiesやPalo Alto Networksでは、自社製品がこれら脆弱性の影響を受けないことを確認したという。
(Security NEXT - 2022/11/02 )
ツイート
関連リンク
- Juniper:2022-11 Out of Cycle Security Bulletin: High severity security issues resolved in OpenSSL 3.0.7
- Check Point:OpenSSL vulnerability CVE-2022-3602 and CVE-2022-3786
- Palo Alto Networks:Impact of OpenSSL 3.0 Vulnerabilities CVE-2022-3786 and CVE-2022-3602
- F5:OpenSSL vulnerabilities CVE-2022-3786 and CVE-2022-3602
- Fortinet:OpenSSL3 critical vulnerability
- Cisco:Vulnerabilities in OpenSSL Affecting Cisco Products: November 2022
- JVN:OpenSSLに複数の脆弱性
- GitHub:Overview of software (un)affected by vulnerability
- ジュニパーネットワークス
- チェック・ポイント・ソフトウェア・テクノロジーズ
- パロアルトネットワークス
- F5ネットワークスジャパン
- フォーティネットジャパン
- シスコシステムズ
- オランダ国立サイバーセキュリティセンター
- JVN
PR
関連記事
「MS Edge」にアップデート - 「クリティカル」とされる脆弱性を解消
Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
オープンデータ公開基盤の「CKAN」に深刻な脆弱性
ワコム製タブレットのmacOS向けドライバインストーラーに脆弱性
「Apache Tomcat」に脆弱性 - 過去の修正が不完全で
「NSX-T」にXSS脆弱性、アップデートがリリース
複数Apple製品が影響を受ける脆弱性 - 米政府が注意喚起
ウェブ開発フレームワーク「CodeIgniter4」にRCE脆弱性
「WordPress」が再度セキュリティ更新 - 前回から4日で
キヤノン製の小規模向け複合機やプリンタに複数脆弱性