サポートの終了したネットワーク機器において、新たな脆弱性が確認された事例が確認されています。
今回はD-LinkのDSLデバイス群です。
対象となるモデルは複数あります。
これらはいずれもすでにサポートが終了しています。
サポートが終了しているというのは、問題に対する対応は提供されないということを意味します。
たとえ脆弱性があることが確認されても、それに対応することのできる新しいバージョンやパッチの提供は期待できないということです。
サポートが切れるとどうなるのでしょうか。
- 脆弱性や機能バグに対応できる新しいバージョンやパッチがリリースされない
- そもそも新しい脆弱性があるかの情報が出にくい
今回のようにサポートの終了した製品に対する脆弱性の情報が出るケースはありますが、情報が出てくることは、存在する可能性のある脆弱性の数に対して、決して多くありません。
注目する脆弱性によっては、なんらかの回避策がある場合はあるでしょう。
しかし、脆弱性に対応するバージョンが提供されないということは、問題に正しく対策する方法は選択することはできないということを意味します。
もうこうなってしまうと、その製品を利用することを終了し、別のなんらかのサポートが提供中の製品に切り替えることで対策することになるでしょう。
継続的なパッチケイデンスの維持は重要です。
それと同じように重要なことは、管理対象の機器の全体を把握し、サポートが終了となっている機器が出てきた際に速やかにそれを把握して対応できる体制を作ることです。
健全な環境を維持していけるように進めていきたいものです。
D-Link DSL Command Injection via DNS Configuration Endpoint
https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint
| この記事をシェア |
|
|---|
