事前予告で緊張走った「OpenSSL」脆弱性、各社が影響を報告 - 対象製品リストも
「OpenSSL」に脆弱性が明らかとなり、アップデートが公開された。ベンダー各社では今回の脆弱性が自社プロダクトへ与える影響について分析し、情報提供を行っている。またオランダ国立サイバーセキュリティセンターでは、脆弱性の対象製品リストをGitHubにて公開した。
当初、修正対象の脆弱性に関して、重要度がもっとも高い「クリティカル(Critical)」と予告されていたため、ネットワーク機器などを提供する各社では警戒を強め、利用者に向けてアドバイザリの準備を進めていた。
アップデートは予告どおり協定世界時11月1日に公開されたが、重要度は1段階低い「高(High)」へと引き下げられた。「CVE-2022-3602」「CVE-2022-3786」を「OpenSSL 3.0.7」にて修正し、早急に対策を講じるよう開発チームでは呼びかけている。
今回の脆弱性について、Juniper Networksでは「Junos OS Evolved」が影響を受けることを公表。「同22.1R1-EVO」には影響なく、同バージョン以降へ更新する必要がある。「Junos OS」「Mist」など7製品については影響がないことを確認。他製品についても調査を進めている。
一方、Check Point Software TechnologiesやPalo Alto Networksでは、自社製品がこれら脆弱性の影響を受けないことを確認したという。
(Security NEXT - 2022/11/02 )
ツイート
関連リンク
- Juniper:2022-11 Out of Cycle Security Bulletin: High severity security issues resolved in OpenSSL 3.0.7
- Check Point:OpenSSL vulnerability CVE-2022-3602 and CVE-2022-3786
- Palo Alto Networks:Impact of OpenSSL 3.0 Vulnerabilities CVE-2022-3786 and CVE-2022-3602
- F5:OpenSSL vulnerabilities CVE-2022-3786 and CVE-2022-3602
- Fortinet:OpenSSL3 critical vulnerability
- Cisco:Vulnerabilities in OpenSSL Affecting Cisco Products: November 2022
- JVN:OpenSSLに複数の脆弱性
- GitHub:Overview of software (un)affected by vulnerability
- ジュニパーネットワークス
- チェック・ポイント・ソフトウェア・テクノロジーズ
- パロアルトネットワークス
- F5ネットワークスジャパン
- フォーティネットジャパン
- シスコシステムズ
- オランダ国立サイバーセキュリティセンター
- JVN
PR
関連記事
「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
HPのLinux向け印刷ソフトに深刻な脆弱性 - アップデートを呼びかけ
「Unbound」に深刻な脆弱性 - コード実行やキャッシュ汚染などのおそれ
PHP向けテンプレートエンジン「Twig」にRCE脆弱性
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
Android版「ロボフォーム」に脆弱性 - 意図しないファイルDLのおそれ
米当局、脆弱性悪用確認リストに7件追加 - IEなど旧製品関連も
「Microsoft Defender」に権限昇格やDoS脆弱性 - 悪用を確認
「TrendAI Apex One」に複数脆弱性 - 一部はすでに悪用
「BIND 9」に複数の脆弱性、すみやかな更新を強く推奨
