JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月7日、2009年11月に公開した「JVNVU#120541: SSL および TLS プロトコルに脆弱性」をアップデートした。このセキュリティアドバイザリはSSL (Secure Sockets Layer)およびTLS (Transport Layer Security)プロトコルのrenegotiationに脆弱性が存在するという内容で、攻撃者が挿入したHTTPリクエストがサーバに送信される可能性が指摘されている。脆弱性は「CVE-2009-3555」として特定されている。

  • JVNVU#120541: SSL および TLS プロトコルに脆弱性

    JVNVU#120541: SSL および TLS プロトコルに脆弱性

今回のアップデートでベンダーステータスが更新されており、三菱電機および三菱電機エンジニアリングの製品がこの脆弱性の影響を受けるとしてアップデートが行われている。

脆弱性に関する情報は次のページにまとまっている。

  • 脆弱性に関する情報|製品セキュリティーへの取組|三菱電機

    脆弱性に関する情報|製品セキュリティーへの取組|三菱電機

  • 三菱電機エンジニアリング株式会社 当社製品・サービスの脆弱性に関する情報

    三菱電機エンジニアリング株式会社 当社製品・サービスの脆弱性に関する情報

CVE-2009-3555に起因する深刻度はCVSSスコア値7.4で重要と分析されており注意が必要。

三菱電機および三菱電機エンジニアリングは上記のセキュリティ情報において脆弱性が存在する製品を説明している。取り上げられている脆弱性はCVE-2009-3555のみならずCVE-2022-24296、CVE-2016-2183、CVE-2013-2566、CVE-2015-2808を含めた5つであり、より多くの製品が対象となっており注意が必要。こうしたベンダーが提供する情報に基づいてアップデートまたは回避策を適用することが望まれる。