PAMSC: Endpoint OpenSSL 1.0.2.k の脆弱性について
Article ID: 369280
Updated On:
Products
Issue/Introduction
Privileged Access Manager Server Control ( 以下、 PAMSC ) 14.10 でセキュリティスキャンを行うと以下の OpenSSL のバイナリが脆弱性として複数発見された。
注: /opt/seos は PAMSC のインストールディレクトリ。
|
Description |
Path |
Reported |
Fixed |
|
OpenSSL 1.0.x < 1.0.2m RSA/DSA Unspecified Carry Issue |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2m |
|
OpenSSL 1.0.2 < 1.0.2n Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2n |
|
OpenSSL 1.0.x < 1.0.2o Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2o |
|
OpenSSL 1.0.x < 1.0.2p Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2p |
|
OpenSSL 1.0.x < 1.0.2q Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2q |
|
OpenSSL 1.0.x < 1.0.2r Information Disclosure Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2r |
|
OpenSSL 1.0.2 < 1.0.2t Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2t |
|
OpenSSL 1.0.2 < 1.0.2u Procedure Overflow Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2u-dev |
|
OpenSSL 1.0.2 < 1.0.2x Null Pointer Dereference Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2x |
|
OpenSSL 1.0.2 < 1.0.2w Information Disclosure |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2w |
|
OpenSSL 1.0.2 < 1.0.2y Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2y |
|
OpenSSL 1.0.2 < 1.0.2za Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2za |
|
OpenSSL 1.0.2 < 1.0.2zd Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2zd |
|
OpenSSL 1.0.2 < 1.0.2ze Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2ze |
|
OpenSSL 1.0.2 < 1.0.2zf Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2zf |
|
OpenSSL 1.0.2 < 1.0.2zg Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2zg |
|
OpenSSL 1.0.2 < 1.0.2zh Multiple Vulnerabilities |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2zh |
|
OpenSSL 1.0.2 < 1.0.2zi Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2zi |
|
OpenSSL 1.0.2 < 1.0.2zj Vulnerability |
/opt/seos/lbin/openssl |
1.0.2k |
1.0.2zj |
Environment
Privileged Access Manager Server Control: 14.1 CP6 より前のすべてのバージョン
Resolution
解決策:
PAMSC 14.10 CP6 で OpenSSL から 現在 (2024 年 5 月時点 ) で脆弱性が発見されていない WolfSSL に変更される予定です。
この時に、OpenSSL のバイナリも 1.1.1w に更新予定です。
回避策:
/opt/seos/lbin/openssl は PAMSC および Privileged Identity Manager ( 以下、PIM) でインストール時に SSL 用の証明書を作成するためにだけ使用されています。
このため、本プログラムを削除しても製品機能には特に影響を与えません。
別の安全な場所にバックアップを作成し、ディレクトリから削除することができます。
ノート:
Windows 版のエンドポイントではインストールが完了すると openssl.exe バイナリは削除されます。
このため、Windows 版のエンドポイントで openssl.exe は存在しません。
Additional Information
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 368698: PAMSC Endpoint OpenSSL 1.0.2k vulnerabilities
Feedback
