複数のVPN製品にcookieを不適切に保存する問題が発見される

4月12日、US-CERT（United States Computer Emergency Readiness Team）は、複数のVPNアプリケーションに脆弱性が存在するとして注意を呼び掛けました。
今回複数のVPNアプリケーションで発見されたのは、認証やセッション管理に用いられるcookieをメモリやログファイルに不適切に保存する問題（CWE-311）です。この脆弱性が悪用された場合、システムの制御権が乗っ取られてしまう危険性があります。
影響を受けたVPNアプリケーションや脆弱性の詳細は、CERT / CC（CERT Coordination Center）のVulnerability Note VU#192371から確認することができます。

尚、Check PointのVPNソリューションは、今回発見された脆弱性の影響を受けません。Check Pointの IPsec/SSL VPNは、市場をリードする高度なセキュリティ設計を持ち、リモートアクセスに安全性と利便性を提供します。

VPNを安全に利用するために

VPN（仮想プライベートネットワーク）は、複数のネットワークをインターネットを介して安全に接続するための方法として、企業等で広く用いられています。ところが、しばしばVPNアプリケーション自体に脆弱性が存在することが指摘されています。
今回、脆弱性の影響を受けると判断されたVPNアプリケーションを使用している方は、ベンダーに相談することをお勧めします。すでに本脆弱性に対応したバージョンが提供されている場合は、速やかに最新版へアップデートしましょう。

日頃からベンダーが提供する最新情報を確認するとともに、修正プログラムが提供された場合は迅速に適用することが望まれます。

参考（外部サイト）

Department of Homeland Security issues security warning for VPN applications — Check Point VPNs not affected
Vulnerability in Multiple VPN Applications

おしらせ

Check Point社主催の「サイバーセキュリティ戦略と企業が抱える経営リスク」セミナーが開催されます。
詳細はこちらの記事をご覧ください。

チェックポイント・ソフトウェア・テクノロジーズについてチェックポイント・ソフトウェア・テクノロジーズ社は、世界中で高い評価を得ているセキュリティ技術のリーディングカンパニーです。