概要
ESET は、SSL/TLS プロトコルのスキャン機能に脆弱性があることを認識しました。このスキャン機能は、以下の「影響を受ける製品」に記載されている ESET 製品で利用可能です。この脆弱性により、ブラウザは、信頼すべきでない旧式のアルゴリズムで署名された証明書を持つサイトを信頼することになります。
詳細
セキュアトラフィックスキャン機能の脆弱性は、サーバーの証明書チェーンの不適切な検証により発生しました。MD5 または SHA1 アルゴリズムを使用して署名された中間証明書は信頼されているとみなされるため、ESET のセキュアトラフィックスキャン機能を有効にしたシステム上のブラウザは、このような証明書で保護されたサイトを信頼する可能性があります。
私たちの知る限り、この脆弱性が悪用されたことはありません。
ESETが予約した脆弱性のCVE IDはCVE-2023-5594で、CVSS v3.1スコアは7.5、CVSSベクトルは以下の通りです:av:n/ac:h/pr:n/ui:n/s:c/c:h/i:l/a:n
解決方法
ESETは修正プログラムを用意し、インターネットプロテクションモジュール1464で自動配布しました。このモジュールは、製品の自動アップデートにより配布されるため、ユーザーによる操作は必要ありません。このモジュールの配布は、プレリリースアップデートチャネルをご利用のお客様には2023年11月21日に、ESETコンシューマ製品をご利用のお客様には2023年11月27日に、ESETビジネスおよびサーバ製品をご利用のお客様には2023年12月11日に開始されました。
対象製品
- ESET NOD32アンチウイルス、ESET Internet Security、ESET Smart Security Premium、ESET Security Ultimate
- ESET Endpoint Antivirus for Windows、ESET Endpoint Security for Windows
- ESET Endpoint Antivirus for Linux 10.0 以上
- ESET Server Security for Windows Server(Microsoft Windows Server用ファイルセキュリティ)、ESET Mail Security for Microsoft Exchange Server、ESET Mail Security for IBM Domino、ESET Security for Microsoft SharePoint Server、ESET File Security for Microsoft Azure
- ESET サーバーセキュリティ(Linux 10.1 以上用
フィードバックとサポート
この問題に関するフィードバックやご質問は、ESET Security Forum または local ESET Technical Support までお問い合わせください。
謝辞
ESETは、セキュリティ業界における責任ある情報公開の原則を尊重し、非公開の報告者に感謝の意を表します。
バージョンログ
バージョン1.0(2023年12月20日):この文書の初期バージョン
