JVNDB-2009-002426
|
複数の SSL VPN (Web VPN) 製品においてウェブブラウザのセキュリティが迂回される問題
|
|
複数の SSL VPN (Web VPN) 製品には、ウェブブラウザのセキュリティメカニズムを迂回可能な問題が存在します。
SL VPN (Web VPN) は、ウェブブラウザを用いて組織内のネットワークリソース (ウェブサーバやメールサーバなど) へ安全にアクセス可能な手段を提供するための製品です。SSL VPN (Web VPN) 製品は、ウェブブラウザとサーバ間のプロキシとして、必要に応じてコンテンツの書き換えを行います。
SSL VPN (Web VPN) を通じて細工したウェブページをアクセスすることにより、ウェブブラウザのセキュリティメカニズム (Same Origin Policy) を迂回される可能性があります。
SSL VPN (Web VPN) を実装している製品が本脆弱性の影響を受ける可能性があります。
|
|
CVSS v2 による深刻度
基本値: 6.8 (警告) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
シスコシステムズ
- Cisco Adaptive Security Appliance 他、複数のベンダの SSL VPN 製品
|
|
|
ユーザが細工されたページを閲覧した場合、遠隔の第三者によって、VPN のセッションをハイジャックされたり、SSL VPN (Web VPN) を通じてアクセスしたコンテンツを閲覧されたり改ざんされたりするなどの可能性があります。
|
|
[ワークアラウンドを実施する]
SSL VPN (Web VPN) の管理者は以下のワークアラウンドを適用することで、本問題の影響を軽減することができます。
・URL の書き換えを信頼できるドメインに限定する
・VPN サーバの接続先を信頼できるドメインに限定する
・URL 隠ぺい (URL hiding) 機能を無効にする
|
|
|
|
- 認可・権限・アクセス制御(CWE-264) [NVD評価]
|
|
- CVE-2009-2631
|
|
- JVN : JVNVU#261869
- National Vulnerability Database (NVD) : CVE-2009-2631
- US-CERT Vulnerability Note : VU#261869
|
|
|
