JVNDB-2019-002622
|
複数の VPN アプリケーションにおいてセッション cookie を不適切に保存する問題
|
仮想プライベートネットワーク (VPN) は、複数のネットワークをインターネットを介して安全に接続するために使用されます。複数の VPN アプリケーションでは、認証やセッション管理に用いられる cookie をメモリやログファイルに不適切に保存する、センシティブなデータを暗号化しない問題 (CWE-311) が存在します。
|
CVSS v3 による深刻度 基本値: 7.9 (重要) [JPCERT/CC値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度 基本値: 5.7 (警告) [JPCERT/CC値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 全面的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
Palo Alto Networks
- GlobalProtect agent 4.1.0 for Windows
- GlobalProtect agent 4.1.10 for macOS およびそれ以前
シスコシステムズ
- Cisco AnyConnect 4.7.x 系およびそれ以前
パルスセキュア
- Pulse Connect Secure 8.1R13 およびそれ以前
- Pulse Connect Secure 8.3R6 およびそれ以前
- Pulse Connect Secure 9.0R2 およびそれ以前
- Pulse Secure Desktop Client 5.3R6 およびそれ以前
- Pulse Secure Desktop Client 9.0R2 およびそれ以前
|
|
Cookie を取得可能な第三者によって、リプレイ攻撃による正規ユーザへのなりすましが行われる可能性があります。
|
Palo Alto Networks GlobalProtectについて:
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した GlobalProtect Agent 4.1.1 for Windows および GlobalProtect Agent 4.1.11 for macOS が提供されています。
Cisco AnyConnect および Pulse Secure Connect Secureについて:
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した以下のバージョンが提供されています。
•Pulse Secure Desktop 5.3R7 およびそれ以降
•Pulse Secure Desktop 9.0R3 およびそれ以降
•Pulse Connect Secure 8.1R14 およびそれ以降
•Pulse Connect Secure 8.3R7 およびそれ以降
•Pulse Connect Secure 9.0R3 およびそれ以降
|
Palo Alto Networks
シスコシステムズ
パルスセキュア
|
- 不適切な認証(CWE-287) [JPCERT/CC評価]
|
- CVE-2019-1573
- CVE-2019-11213
|
- JVN : JVNVU#97651416
- National Vulnerability Database (NVD) : CVE-2019-1573
- National Vulnerability Database (NVD) : CVE-2019-11213
- US-CERT Vulnerability Note : VU#192371
- 関連文書 : GlobalProtect Agent on Windows/macOS privilege escalation
|
- [2019年04月16日]
掲載
- [2019年04月23日]
影響を受けるシステム:内容を更新
対策:内容を更新
ベンダ情報:内容を更新
|