事前予告で緊張走った「OpenSSL」脆弱性、各社が影響を報告 - 対象製品リストも
「OpenSSL」に脆弱性が明らかとなり、アップデートが公開された。ベンダー各社では今回の脆弱性が自社プロダクトへ与える影響について分析し、情報提供を行っている。またオランダ国立サイバーセキュリティセンターでは、脆弱性の対象製品リストをGitHubにて公開した。
当初、修正対象の脆弱性に関して、重要度がもっとも高い「クリティカル(Critical)」と予告されていたため、ネットワーク機器などを提供する各社では警戒を強め、利用者に向けてアドバイザリの準備を進めていた。
アップデートは予告どおり協定世界時11月1日に公開されたが、重要度は1段階低い「高(High)」へと引き下げられた。「CVE-2022-3602」「CVE-2022-3786」を「OpenSSL 3.0.7」にて修正し、早急に対策を講じるよう開発チームでは呼びかけている。
今回の脆弱性について、Juniper Networksでは「Junos OS Evolved」が影響を受けることを公表。「同22.1R1-EVO」には影響なく、同バージョン以降へ更新する必要がある。「Junos OS」「Mist」など7製品については影響がないことを確認。他製品についても調査を進めている。
一方、Check Point Software TechnologiesやPalo Alto Networksでは、自社製品がこれら脆弱性の影響を受けないことを確認したという。
(Security NEXT - 2022/11/02 )
ツイート
関連リンク
- Juniper:2022-11 Out of Cycle Security Bulletin: High severity security issues resolved in OpenSSL 3.0.7
- Check Point:OpenSSL vulnerability CVE-2022-3602 and CVE-2022-3786
- Palo Alto Networks:Impact of OpenSSL 3.0 Vulnerabilities CVE-2022-3786 and CVE-2022-3602
- F5:OpenSSL vulnerabilities CVE-2022-3786 and CVE-2022-3602
- Fortinet:OpenSSL3 critical vulnerability
- Cisco:Vulnerabilities in OpenSSL Affecting Cisco Products: November 2022
- JVN:OpenSSLに複数の脆弱性
- GitHub:Overview of software (un)affected by vulnerability
- ジュニパーネットワークス
- チェック・ポイント・ソフトウェア・テクノロジーズ
- パロアルトネットワークス
- F5ネットワークスジャパン
- フォーティネットジャパン
- シスコシステムズ
- オランダ国立サイバーセキュリティセンター
- JVN
PR
関連記事
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意
Adobe、複数製品にアップデート - 250件以上の脆弱性を解消
Pythonの「tarfile」モジュールに脆弱性 - クリティカルも
「M365 Copilot」に情報漏洩の深刻な脆弱性 - すでに修正済み
