複数の SSL VPN 製品の脆弱性に関する注意喚起

JPCERT-AT-2019-0033 JPCERT/CC 2019-09-02(新規) 2019-09-06(更新) I. 概要JPCERT/CC では、複数の SSL VPN 製品の脆弱性について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。 - Palo Alto Networks (CVE-2019-1579) - Fortinet (CVE-2018-13379) - Pulse Secure (CVE-2019-11510) これらの脆弱性を悪用された場合に、攻撃者がリモートから任意のコードを実行できる可能性 (CVE-2019-1579) や、任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性 (CVE-2018-13379, CVE-2019-11510) があります。なお、脆弱性の報告者からは、それぞれの製品について、上記

[hiroomi]

“各ベンダが提供する情報を参考に、修正済みのバージョンにアップデートしてください。”

[ot2sy39]

金曜日に発表するなんてと思ったら、9月2日か。なんでこれ話題になってないの。

[ockeghem]

『複数の SSL VPN 製品の脆弱性について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています』

[ebo-c]

ここに名前がなくても二次利用してる製品が多いような気がするラインナップだなー

[ya--mada]

あー、vuldbのか

[Lat]

Paloのバージョンについては古いので適切にバージョンアップを行っている所であれば対応済みだと思う。FortiについてはマイナーバージョンアップでもGUIから項目が消えたり設定がクリアされる問題が有り躊躇するだろうな

[dogusare]

paloあちゃー

[alovesun]

勘弁しちくり〜

[kenzy_n]

SSL VPNも万全ではない

[IGA-OS]

“- Palo Alto Networks (CVE-2019-1579) - Fortinet (CVE-2018-13379) - Pulse Secure (CVE-2019-11510)”

[at_9FgRkUX8Xr]

これは採用している企業多そうだから影響大きそう・・・(´・ω・`)