情報セキュリティ
最終更新日:2021年5月7日
※追記すべき情報がある場合には、その都度このページを更新する予定です。
Pulse Connect Secure は、リモートアクセスを実現するための VPN 製品です。
この Pulse Connect Secure において、遠隔の第三者が認証を回避し、任意のコードを実行する可能性のある脆弱性が確認されています。
2021 年 4 月 21 日現在、製品開発者から修正済みのバージョンは提供されていません。
製品開発者が公表している手順に従い暫定的な回避策を実施するか、または当該製品の一時的な使用停止を検討してください。
製品開発者より修正済みのバージョンが提供されています。
製品開発者が公表している手順に従いアップデートするか、暫定的な回避策を実施してください。
国内での被害は確認されていませんが、すでに悪用が確認されており、今後被害が拡大する可能性があるため、対策の実施についてご検討ください。
Pulse Connect Secure 9.0R3 およびそれ以降
Pulse Connect Secure 9.1R1 およびそれ以降
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
2021 年 5 月 6 日現在、「影響を受けるシステム」に記載の全てのバージョンにおいて製品開発者から修正プログラムが提供されております。
製品開発者から提供されている修正プログラムを適用してください。詳細は、下記リンクよりご確認ください。
製品開発者が公表している手順に従い、次の回避策の適用を実施してください。
xmlファイルをインポートすると、URLベースの攻撃による影響が軽減され、Windows File Share Browser と Pulse Secure Collaboration が無効になります。インポート後に、Windows File Browser が無効になっているか設定を確認することが推奨されています。詳細の内容や実施手順については、下記リンクよりご確認下さい。
IPA セキュリティセンター
※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。
詳しくは製品ベンダなどにお問合せください。
2021年5月6日
ベンダより修正プログラムがリリースされたため、内容を更新
2021年4月23日
影響を受けるシステム及び参考情報の追記
2021年4月21日
掲載