事前予告で緊張走った「OpenSSL」脆弱性、各社が影響を報告 - 対象製品リストも
「OpenSSL」に脆弱性が明らかとなり、アップデートが公開された。ベンダー各社では今回の脆弱性が自社プロダクトへ与える影響について分析し、情報提供を行っている。またオランダ国立サイバーセキュリティセンターでは、脆弱性の対象製品リストをGitHubにて公開した。
当初、修正対象の脆弱性に関して、重要度がもっとも高い「クリティカル(Critical)」と予告されていたため、ネットワーク機器などを提供する各社では警戒を強め、利用者に向けてアドバイザリの準備を進めていた。
アップデートは予告どおり協定世界時11月1日に公開されたが、重要度は1段階低い「高(High)」へと引き下げられた。「CVE-2022-3602」「CVE-2022-3786」を「OpenSSL 3.0.7」にて修正し、早急に対策を講じるよう開発チームでは呼びかけている。
今回の脆弱性について、Juniper Networksでは「Junos OS Evolved」が影響を受けることを公表。「同22.1R1-EVO」には影響なく、同バージョン以降へ更新する必要がある。「Junos OS」「Mist」など7製品については影響がないことを確認。他製品についても調査を進めている。
一方、Check Point Software TechnologiesやPalo Alto Networksでは、自社製品がこれら脆弱性の影響を受けないことを確認したという。
(Security NEXT - 2022/11/02 )
ツイート
関連リンク
- Juniper:2022-11 Out of Cycle Security Bulletin: High severity security issues resolved in OpenSSL 3.0.7
- Check Point:OpenSSL vulnerability CVE-2022-3602 and CVE-2022-3786
- Palo Alto Networks:Impact of OpenSSL 3.0 Vulnerabilities CVE-2022-3786 and CVE-2022-3602
- F5:OpenSSL vulnerabilities CVE-2022-3786 and CVE-2022-3602
- Fortinet:OpenSSL3 critical vulnerability
- Cisco:Vulnerabilities in OpenSSL Affecting Cisco Products: November 2022
- JVN:OpenSSLに複数の脆弱性
- GitHub:Overview of software (un)affected by vulnerability
- ジュニパーネットワークス
- チェック・ポイント・ソフトウェア・テクノロジーズ
- パロアルトネットワークス
- F5ネットワークスジャパン
- フォーティネットジャパン
- シスコシステムズ
- オランダ国立サイバーセキュリティセンター
- JVN
PR
関連記事
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も
「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性
ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性
「IBM API Connect」に認証回避の脆弱性 - 暫定修正を提供
Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
Atlassian、前月更新で脆弱性46件を修正 - クリティカル9件含むも影響は限定的
NVIDIAのAI基盤「NeMo Framework」に複数脆弱性 - 修正版が公開
「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開
約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25
