こんにちは。萩原です。
弊社は日々の業務において確認した脆弱性について、開発ベンダと直接の取引がない場合においてはJPCERT(場合によってはIPA)を介して報告しております。それらの脆弱性が修正されることもあれば、緩和策が公開されたり、場合によっては報告対象となった機器がサポート終了となることもあります。
実際にJVNが公開されるまでのどの程度かかったのか、というのはとても興味がある情報でもあるかと思います。つきましては、それぞれのベンダ単位でまとめました(それぞれのベンダ名をアルファベット順にソートした順番となります)…がその前に報告したものの対処されていない脆弱性についてお知らせします。経過日数は本日(2023年8月16日)を基準としております。
報告したものの修正されていない脆弱性(ベンダ別)
ベンダ | 報告日 | 経過日数 | 未修正脆弱性件数 |
A社 | 2020/12/17 | 972日 | 2件 |
A社 | 2022/2/25 | 537日 | 4件 |
B社 | 2023/3/7 | 162日 | 2件 |
C社 | 2020/12/17 | 972日 | 1件 |
C社 | 2023/3/2 | 167日 | 5件 |
D社 | 2023/3/16 | 153日 | 2件 |
E社 | 2022/2/25 | 537日 | 6件 |
E社 | 2023/3/6 | 163日 | 7件 |
F社 | 2023/3/7 | 162日 | 2件 |
G社 | 2023/3/7 | 162日 | 1件 |
H社 | 2023/3/16 | 153日 | 4件 |
I社 | 2023/3/10 | 159日 | 2件 |
J社 | 2023/3/15 | 154日 | 15件 |
K社 | 2023/3/9 | 160日 | 1件 |
L社 | 2023/3/9 | 160日 | 1件 |
前置きがだいぶ長くなってしまいましたが、本題である公開されている脆弱性情報についてのまとめとなります。
バッファロー社
コンテック社
JVNVU# | 公開日 | 報告日からの日数 | 対応の種類 |
92106300 | 2023/5/8 | 53日 | 脆弱性の修正および緩和策の提供 |
D-Link社
JVNVU# | 公開日 | 報告日からの日数 | 対応の種類 |
92898656 | 2021/4/9 | 113日 | 脆弱性の修正 |
エレコム社(ロジテック社製品を含む)
JVNVU# | 公開日 | 報告日からの日数 | 対応の種類 |
94260088 | 2021/7/6 | 201日 | 緩和策の提供及びサポート終了(代替品への移行) |
94527926 | 2021/11/30 | 348日 | 脆弱性の修正 |
91850798 | 2023/8/10 | 531日 | サポート終了(代替品への移行) |
91630351 | 2023/8/10 | 157日 | 緩和策の提供及びサポート終了(代替品への移行) |
05223215 (JVN) | 2023/8/10 | 531日 | サポート終了(代替品への移行) |
富士通社
JVNVU# | 公開日 | 報告日からの日数 | 対応の種類 |
96643580 | 2023/7/26 | 138日 | 脆弱性の修正および緩和策の提供 |
因幡電機産業社
JVNVU# | 公開日 | 報告日からの日数 | 対応の種類 |
98968780 | 2023/5/16 | 67日 | 緩和策の提供 |
(東西)日本電信電話社
JVNVU# | 公開日 | 報告日からの日数 | 対応の種類 |
94900322 | 2022/3/22 | 460日 | 脆弱性の修正 |
QNAP社
JVNVU# | 公開日 | 報告日からの日数 | 対応の種類 |
95992089 | 2022/5/11 | 75日 | 脆弱性の修正 |