セキュリティ情報

JPCERT/CC、2009年11月に公開されたSSL・ TLS プロトコル脆弱性のアドバイザリを更新

JPCERT/CCは6月7日、2009年11月に公開された「JVNVU#120541: SSL および TLS プロトコルに脆弱性」を更新した。このセキュリティアドバイザリは、SSLおよびTLSのrenegotiationに脆弱性が存在し、攻撃者が不正に混入させたHTTPリクエストがサーバに送信されてしまう危険が指摘されている(CVE-2009-3555)。

今回のアップデートでは、ベンダーステータスが更新されている。具体的には、三菱電機と三菱電機エンジニアリングの製品(空調管理システムなど)が新たに影響を受ける可能性があるとされている。両社は、CVE-2009-3555以外にもCVE-2022-24296、CVE-2016-2183、CVE-2013-2566、CVE-2015-2808についてもより多くの製品を対象として新たなアドバイザリを発表している。ユーザは対策を施すことが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
JVN(JPCERT/CC)
三菱電機の発表(pdf)