2019.04.14(日)
コンテンツ
 
注目検索ワード
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事

複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)

IPAおよびJPCERT/CCは、複数のVPNアプリケーションに、認証やセッション管理に用いられるcookieをメモリやログファイルに不適切に保存する問題が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は4月12日、複数のVPN(Virtual Private Network)アプリケーションに、認証やセッション管理に用いられるcookieをメモリやログファイルに不適切に保存する問題が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.9。

JVNによると、
・Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows(CVE-2019-1573)
・Palo Alto Networks GlobalProtect Agent 4.1.10 for macOS およびそれ以前(CVE-2019-1573)
・Pulse Secure Connect Secure 8.1R14, 8.2, 8.3R6, および 9.0R2 より前
これらは、cookieをメモリとログファイルに不適切に保存する。

・Cisco AnyConnect 4.7.x 系およびそれ以前
これらは、cookieをメモリに不適切に保存する。

これらのVPNアプリケーションでは、認証やセッション管理に用いられるcookieをメモリやログファイルに不適切に保存する、センシティブなデータを暗号化しない問題(CVE-2019-1573)が存在する。これにより、Cookieを取得可能な第三者によって、リプレイ攻撃による正規ユーザへのなりすましが行われる可能性がある。JVNでは、Palo Alto製品については開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、これ以外は現時点で対策方法は公開されていない。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

記事一覧へ

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN) 画像

複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)
Intelが複数製品のアップデートを公開、DoS攻撃など受ける可能性(JVN) 画像

Intelが複数製品のアップデートを公開、DoS攻撃など受ける可能性(JVN)
マイクロソフトが月例セキュリティ情報を公開、12種の製品を更新(IPA、JPCERT/CC) 画像

マイクロソフトが月例セキュリティ情報を公開、12種の製品を更新(IPA、JPCERT/CC)
アドビが2件のセキュリティアップデートを公開、適用を呼びかけ(JPCERT/CC、IPA) 画像

アドビが2件のセキュリティアップデートを公開、適用を呼びかけ(JPCERT/CC、IPA)
スマホアプリ「MyCar Controls」に遠隔からのデータ取得などの脆弱性(JVN) 画像

スマホアプリ「MyCar Controls」に遠隔からのデータ取得などの脆弱性(JVN)
オムロンの「CX-One」に任意コード実行の脆弱性(JVN) 画像

オムロンの「CX-One」に任意コード実行の脆弱性(JVN)

インシデント・事故 記事一覧へ

「エコレオンラインショップ」へ不正アクセス、セキュリティコード含むカード情報が流出の可能性(レジナ) 画像

「エコレオンラインショップ」へ不正アクセス、セキュリティコード含むカード情報が流出の可能性(レジナ)
書類ケースを自家用車の屋根に置いたまま移動し患者の個人情報を一時紛失(茨城県西部メディカルセンター) 画像

書類ケースを自家用車の屋根に置いたまま移動し患者の個人情報を一時紛失(茨城県西部メディカルセンター)
メールアドレスの誤入力で添付したパソコンボランティア名簿が流出(宮城県) 画像

メールアドレスの誤入力で添付したパソコンボランティア名簿が流出(宮城県)
教育委員会のメールサーバを不正中継、アダルトサイトへのリンクを含む英文メールを送信(富山市) 画像

教育委員会のメールサーバを不正中継、アダルトサイトへのリンクを含む英文メールを送信(富山市)
特定医療費の受給者証2名分を入れ違え誤送付(新潟県) 画像

特定医療費の受給者証2名分を入れ違え誤送付(新潟県)
誤送信で自動車メーカー14社17名分のメールアドレスが流出(東京都) 画像

誤送信で自動車メーカー14社17名分のメールアドレスが流出(東京都)

調査・レポート・白書 記事一覧へ

DDoS攻撃の発生件数が増加、複合プロトコル攻撃の増加も顕著(CDNetworks) 画像

DDoS攻撃の発生件数が増加、複合プロトコル攻撃の増加も顕著(CDNetworks)
インシデント報告件数、「スキャン」が増加し4割超えに(JPCERT/CC) 画像

インシデント報告件数、「スキャン」が増加し4割超えに(JPCERT/CC)
マネージド型 クラウド型セキュリティサービス市場規模、CASB 急伸(ミック経済研究所) 画像

マネージド型 クラウド型セキュリティサービス市場規模、CASB 急伸(ミック経済研究所)
DDoS攻撃はステートフル攻撃にシフト傾向、クラウドサービスも標的に(NETSCOUT SYSTEMS) 画像

DDoS攻撃はステートフル攻撃にシフト傾向、クラウドサービスも標的に(NETSCOUT SYSTEMS)
日本の芸能人の名前を件名にした“Love You”マルウェアスパムが急増(キヤノンMJ) 画像

日本の芸能人の名前を件名にした“Love You”マルウェアスパムが急増(キヤノンMJ)
DDoS攻撃にM2M通信プロコトルCoAPを悪用する新手法(A10) 画像

DDoS攻撃にM2M通信プロコトルCoAPを悪用する新手法(A10)

研修・セミナー・カンファレンス 記事一覧へ

初の大阪開催~脅威実態とインシデント分析、DeNAのEDR導入事例まで(CrowdStrike) 画像

初の大阪開催~脅威実態とインシデント分析、DeNAのEDR導入事例まで(CrowdStrike)
x86 アーキテクチャの不可解な「仕様」 画像

x86 アーキテクチャの不可解な「仕様」
車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討(国土交通省) 画像

車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討(国土交通省)
西本逸郎の最近の頭の中 画像

西本逸郎の最近の頭の中
民間対民間のサイバー時代の終焉 ~ サイバーリーズン エバンジェリスト 増田幸美氏 画像

民間対民間のサイバー時代の終焉 ~ サイバーリーズン エバンジェリスト 増田幸美氏
「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事 画像

「マルウェア完全に理解した」キヤノンマーケティングジャパン社マルウェアラボのお仕事

製品・サービス・業界動向 記事一覧へ

マカフィーのCASBをマネージドセキュリティサービスで提供(SBT) 画像

マカフィーのCASBをマネージドセキュリティサービスで提供(SBT)
国土交通省の新セキュリティ規格に準拠したアンテナ分離・スピーカー一体型のETC車載器を発売 画像

国土交通省の新セキュリティ規格に準拠したアンテナ分離・スピーカー一体型のETC車載器を発売
番外編:疑問その6「俺とおまえとクラウドセキュリティ ~ 26枚の “白紙” の束」~日商エレに聞く、CASBとクラウドセキュリティの疑問 画像

番外編:疑問その6「俺とおまえとクラウドセキュリティ ~ 26枚の “白紙” の束」~日商エレに聞く、CASBとクラウドセキュリティの疑問
横展開封じ込め、CrowdStrike 提唱の新指標「1 - 10 - 60」ルールとは? 画像

横展開封じ込め、CrowdStrike 提唱の新指標「1 - 10 - 60」ルールとは?
「SilentDefense」を活用したビルシステム向け監視ソリューションを開発(マクニカネットワークス) 画像

「SilentDefense」を活用したビルシステム向け監視ソリューションを開発(マクニカネットワークス)
トレンドマイクロ「TMIS」採用のIoTデバイスセキュリティ(NSW) 画像

トレンドマイクロ「TMIS」採用のIoTデバイスセキュリティ(NSW)

おしらせ 記事一覧へ

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー プレゼント(受付終了)
マクニカネットワークス株式会社 セキュリティサービス室 室長代理 柳下氏を取材しました 画像

マクニカネットワークス株式会社 セキュリティサービス室 室長代理 柳下氏を取材しました
[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ 画像

[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ
記事に関するお詫びと訂正:メール誤送信を助長する表現について 画像

記事に関するお詫びと訂正:メール誤送信を助長する表現について
【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター 画像

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×