「Pulse Connect Secure」に複数脆弱性 - 定例外のアドバイザリを公開
VPNや認証、アクセス制御などの機能を提供する「Pulse Connect Secure」「Pulse Policy Secure」に中間者攻撃を受けるおそれがある脆弱性が判明した。
これら製品において、ホストチェッカーでポリシーを実施させる機能に、3件の脆弱性「CVE-2020-11580」「CVE-2020-11581」「CVE-2020-11582」が明らかとなったもの。同社は定例外のアドバイザリをリリースし、脆弱性について調査中であることを明らかにした。
エージェントレスで動作するアプレットベースのホストチェッカーに脆弱性は存在。組み合わせて悪用されると中間者攻撃により、リモートでコードを実行されるおそれがあるという。
共通脆弱性評価システム「CVSSv3.1」によるベーススコアは、それぞれ「9.1」「8.1」「8.8」。任意のSSL/TLS証明書を受け入れる「CVE-2020-11580」については、「クリティカル(Critical)」とレーティングされている。
(Security NEXT - 2020/04/09 )
ツイート
PR
関連記事
ファイアウォール基盤「PAN-OS」に判明した脆弱性2件を修正 - Palo Alto
CrowdStrikeのWindows向け「Falconセンサー」に複数脆弱性
「Flowise」のRCE脆弱性 - 旧版に影響と説明
「Tenable Security Center」に脆弱性 - 権限外の操作が可能に
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も
「AWS Client VPN」に権限昇格の脆弱性 - macOS版のみ影響
IBMのアクセス管理製品に深刻な脆弱性 - アップデートを提供
「Nagios Log Server」に複数脆弱性 - 3月の更新で修正
「Chrome」にアップデート、脆弱性3件を修正
「Unity」ランタイムに脆弱性 - 利用アプリは要再ビルド