公開日:2019/04/12 最終更新日:2020/04/10
JVNVU#97651416
複数の VPN アプリケーションにおいてセッション cookie を不適切に保存する問題
複数の VPN (Virtual Private Network) アプリケーションには、認証やセッション管理に用いられる cookie をメモリやログファイルに不適切に保存する問題が存在します。
以下の製品は cookie をメモリとログファイルに不適切に保存します。
- Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows (CVE-2019-1573)
- Palo Alto Networks GlobalProtect Agent 4.1.10 for macOS およびそれ以前 (CVE-2019-1573)
- Pulse Connect Secure (for Network Connect customers) 8.1R13, 8.3R6, 9.0R2 およびそれ以前 (CVE-2019-11213)
- Pulse Desktop Client 5.3R6, 9.0R2 およびそれ以前 (CVE-2019-11213)
- Cisco AnyConnect 4.7.x 系およびそれ以前
仮想プライベートネットワーク (VPN) は、複数のネットワークをインターネットを介して安全に接続するために使用されます。複数の VPN アプリケーションでは、認証やセッション管理に用いられる cookie をメモリやログファイルに不適切に保存する、センシティブなデータを暗号化しない問題 (CWE-311) が存在します。
Cookie を取得可能な第三者によって、リプレイ攻撃による正規ユーザへのなりすましが行われる可能性があります。
Palo Alto Networks GlobalProtectについて:
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した GlobalProtect Agent 4.1.1 for Windows および GlobalProtect Agent 4.1.11 for macOS が提供されています。
Pulse Secure Desktop Client および Network Connect について:
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
本脆弱性に対応した以下のバージョンが提供されています。
- Pulse Secure Desktop 5.3R7 およびそれ以降
- Pulse Secure Desktop 9.0R3 およびそれ以降
- Pulse Connect Secure 8.1R14 およびそれ以降
- Pulse Connect Secure 8.3R7 およびそれ以降
- Pulse Connect Secure 9.0R3 およびそれ以降
Cisco AnyConnect について:
2019年4月12日現在、対策方法は不明です。
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| ジェイティ エンジニアリング株式会社 | 該当製品無し | 2020/04/10 |
-
CERT/CC Vulnerability Note VU#192371
Multiple VPN applications insecurely store session cookies -
VULDB
Vulnerability ID 133258 GlobalProtect Agent on Windows/macOS privilege escalation [CVE-2019-1573]
CVSS v3
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
基本値:
7.9
CVSS v2
AV:L/AC:L/Au:S/C:C/I:P/A:P
基本値:
5.7
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2019-1573 |
|
CVE-2019-11213 |
|
| JVN iPedia |
- 2019/04/19
- [影響を受けるシステム]、[対策方法] に追記し、[ベンダ情報] に Pulse Secure の情報を追加しました。
- 2020/04/10
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
