Cisco AnyConnectセキュアモビリティクライアントにおける任意のコード実行の脆弱性

ダウンロード オプション

  • PDF     (416.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (85.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (81.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 5 月 21 日
Document ID:SA216196

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-anyconnect-ipc-KfQO9QhK
初公開日 : 2020-11-04 16:00
最終更新日 : 2021-05-21 18:06
バージョン 4.1 : Final
CVSSスコア : 7.3
回避策 : Yes
Cisco バグ ID : CSCvv30103
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco AnyConnectセキュアモビリティクライアントソフトウェアのプロセス間通信(IPC)チャネルにおける脆弱性により、認証されたローカルの攻撃者が、ターゲットのAnyConnectユーザに悪意のあるスクリプトを実行させる可能性があります。

この脆弱性は、IPCリスナーに対する認証の欠如に起因します。攻撃者は、巧妙に細工されたIPCメッセージをAnyConnectクライアントのIPCリスナーに送信することにより、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者はターゲットのAnyConnectユーザにスクリプトを実行させる可能性があります。このスクリプトは、ターゲットのAnyConnectユーザの権限で実行されます。

注:この脆弱性を不正利用するには、攻撃者は次のすべてを必要とします。

  • 対象ユーザがAnyConnectクライアントを実行しているシステム上の有効なユーザクレデンシャル。
  • 対象ユーザがアクティブなAnyConnectセッションを確立している間、または新しいAnyConnectセッションを確立している間に、そのシステムにログインできるようにするため。
  • そのシステム上でコードを実行できるようにします。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。本脆弱性に対処する回避策がいくつかあります。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-ipc-KfQO9QhK

該当製品

脆弱性のある製品

この脆弱性は、次のプラットフォーム用のCisco AnyConnectセキュアモビリティクライアントソフトウェアのリリース4.10.00093より前のすべてのリリースで、脆弱性のある設定が含まれている場合に影響を与えます。

  • Windows 用 AnyConnect セキュア モビリティ クライアント
  • MacOS 用 AnyConnect セキュア モビリティ クライアント
  • Linux 用 AnyConnect セキュア モビリティ クライアント

次のサブセクションでは、Cisco AnyConnectセキュアモビリティクライアントソフトウェアの特定のリリースの脆弱性を判別する方法について説明します。エンドマシンで実行されているCisco AnyConnectセキュアモビリティクライアントソフトウェアのリリースによって、ユーザが確認する必要がある設定が決まります。

次のサブセクションで説明する構成設定は、AnyConnectLocalPolicy.xmlファイルにあります。このファイルは次の場所にあります。

  • Windows:<ドライブ文字>:\ProgramData\Cisco\Cisco AnyConnectセキュアモビリティクライアント\
  • macOS:/opt/cisco/anyconnect/
  • Linux:/opt/cisco/anyconnect/

Cisco AnyConnectセキュアモビリティクライアントソフトウェアリリース4.9.04053、4.9.05042、および4.9.06037

RestrictScriptWebDeployがデフォルト値のfalseに設定されている場合、このアドバイザリに記載されている脆弱性は、Cisco AnyConnectセキュアモビリティクライアントソフトウェアリリース4.9.04053、4.9.05042、および4.9.06037に影響を与えます。

VPNクライアントシステムのRestrictScriptWebDeploy構成設定を確認するには、AnyConnectLocalPolicy.xmlファイルを開き、次の行を探します。

<RestrictScriptWebDeploy>false</RestrictScriptWebDeploy>

RestrictScriptWebDeployがfalseに設定されている場合、RestrictScriptWebDeployは無効になり、デバイスはこの脆弱性の影響を受けます。RestrictScriptWebDeployがtrueに設定されている場合、RestrictScriptWebDeployは有効になり、デバイスはこの脆弱性の影響を受けません。

オプションの推奨設定については、「回避策」セクションを参照してください。

Cisco AnyConnectセキュアモビリティクライアントソフトウェアリリース4.9.04053 以前

このアドバイザリで説明されている脆弱性は、BypassDownloaderがデフォルト値のfalseに設定されている場合、リリース4.9.04053より前のCisco AnyConnectセキュアモビリティクライアントソフトウェアのすべてのリリースに影響します。

VPNクライアントシステムのBypassDownloader構成設定を確認するには、AnyConnectLocalPolicy.xmlファイルを開き、次の行を探します。

<BypassDownloader>false</BypassDownloader>

BypassDownloaderがfalseに設定されている場合、BypassDownloaderは無効になり、デバイスはこの脆弱性の影響を受けます。BypassDownloaderがtrueに設定されている場合、BypassDownloaderは有効になっており、デバイスはこの脆弱性の影響を受けません。

注:BypassDownloaderをtrueに設定することは推奨されない設定です。詳細については、「回避策」のセクションを参照してください。

脆弱性を含んでいないことが確認された製品

このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。

この脆弱性は、Apple iOSまたはAndroidプラットフォーム向け、またはユニバーサルWindowsプラットフォーム向けのCisco AnyConnectセキュアモビリティクライアントには影響を与えません。

詳細

この脆弱性の詳細は次のとおりです。

  • この脆弱性は単一のユーザが使用するラップトップではエクスプロイトされませんが、複数のユーザが使用するエンドユーザデバイスでは、それらのユーザに有効なログインが必要になります。
  • この脆弱性は、攻撃者がローカルシステムでアクションを実行するためにエンドユーザデバイスのローカルログイン情報を必要とするため、リモートでエクスプロイトされることはありません。
  • この脆弱性のエクスプロイトでは、権限は昇格されません。スクリプトは、デフォルトではユーザレベルで実行されます。AnyConnect のローカルユーザがユーザ インターフェイス プロセスの権限を手動で昇格させると、スクリプトは昇格された権限で実行されます。
  • この脆弱性が悪用される設定では、あるユーザが別のユーザのデータと実行スペースにアクセスできるため、この脆弱性のCVSSスコアは高くなります。

回避策

この脆弱性に対処する回避策は、新しい設定によってCisco Bug ID CSCvw48062に導入されました。新しい設定は、リリース4.9.04053以降で使用できます。4.9.04053で導入された設定を使用する代わりに、リリース4.10.00093で導入された追加の設定を使用することをお勧めします。

4.10.00093で導入された設定では、機能を失うことなく、信頼できるヘッドエンドにのみ接続できます。新しい設定の詳細については、このアドバイザリの「推奨事項」セクションを参照してください。

Cisco AnyConnectセキュアモビリティクライアントソフトウェアリリース4.10.00093

リリース4.10.00093以降では、Cisco Bug ID CSCvv30103の修正が取り込まれており、追加の設定は必要ありません。オプションですが推奨されるその他の設定については、「推奨事項」のセクションを参照してください。

以前に回避策が適用されたシステムのアップグレード手順

このセクションは、リリース4.9.04053、4.9.05042、または4.9.06037の回避策の設定、あるいはリリース4.9.04053以前のリリースの緩和策の設定を以前に適用したお客様にのみ該当します。このアドバイザリに記載されている回避策または緩和策を以前に使用していない場合は、通常のアップグレードプロセスを使用してください。通常のアップグレードプロセスの詳細については、『リリースノート』または『コンフィギュレーションガイド』を参照してください。

次の手順では、リリース4.10.00093にアップグレードし、AnyConnectLocalPolicy.xmlファイルで以前に適用した設定を削除する方法について説明します。このファイルは次の場所にあります。

  • Windows:<ドライブ文字>:\ProgramData\Cisco\Cisco AnyConnectセキュアモビリティクライアント\
  • macOS:/opt/cisco/anyconnect/
  • Linux:/opt/cisco/anyconnect/
 
AnyConnectセキュアモビリティクライアントソフトウェアリリース AnyConnectLocalPolicy.xmlの設定 手順

4.9.04053 より前

以前に展開されたAnyConnectLocalPolicy.xmlの設定:

  • BypassDownloader= true

新しいAnyConnectLocalPolicy.xml設定:

  • BypassDownloader=false
 
  1. predeploy方式を使用して4.10にアップグレードします。
  2. 帯域外展開方式を使用して、新しい設定でAnyConnectLocalPolicy.xmlファイルを再配布します。
  3. 推奨事項」セクションに示されている新しい4.10設定を適用します。
 

4.9.04053, 4.9.05042, 4.9.06037

以前に展開されたAnyConnectLocalPolicy.xmlの設定:

  • RestrictScriptWebDeploy=true
  • RestrictHelpWebDeploy=true
  • RestrictResourceWebDeploy=true
  • RestrictLocalizationWebDeploy=true
  • BypassDownloader=false

新しいAnyConnectLocalPolicy.xml設定:

  • RestrictScriptWebDeploy=false
  • RestrictHelpWebDeploy=false
  • RestrictResourceWebDeploy=false
  • RestrictLocalizationWebDeploy=false
  • BypassDownloader=false
 
  1. predeployまたはwebdeployのいずれかの方法を使用して4.10にアップグレードします。
  2. 帯域外展開方式を使用して、新しい設定でAnyConnectLocalPolicy.xmlファイルを再配布1します。
  3. 推奨事項」セクションに示されている新しい4.10設定を適用します。
 
1.制限された機能が必要ない場合、RestrictScriptWebDeploy、RestrictHelpWebDeploy、RestrictResourceWebDeploy、およびRestrictLocalizationWebDeployの設定を変更せずにそのまま残すことができます。これらの設定がtrueのままである場合は、アウトオブバンドの配備方法を使用してファイルを配布する必要があります。
 

Cisco AnyConnectセキュアモビリティクライアントソフトウェアリリース4.9.04053、4.9.05042、および4.9.06037

すでにRestrictScriptWebDeploy回避策を適用しているお客様向け

リリース4.9.04053、4.9.05042、または4.9.06037を使用しており、すでにRestrictScriptWebDeploy、RestrictHelpWebDeploy、RestrictResourceWebDeploy、RestrictLocalizationWebDeployの各回避策を適用しているお客様は、この脆弱性の不正利用に対する保護をするためにこれ以上行する必要はありません。

完全な機能を製品に復元するには、リリース4.10.00093にアップグレードし、「推奨事項」セクションに示されている推奨設定を適用する必要があります。完全な機能が復元された後、お客様は帯域外展開方式を使用する代わりに、ヘッドエンドからファイルを再び展開できます。

リリース4.10.00093以降にアップグレードできないお客様向け

リリース4.9.04053、4.9.05042、または4.9.06037を使用していて、リリース4.10.00093以降にアップグレードできないお客様では、これらのリリースに対する推奨される回避策は、AnyConnectLocalPolicy.xmlファイルを編集してRestrictScriptWebDeployをtrueに設定し、BypassDownloaderをfalseに設定することです。その後、新しいAnyConnectLocalPolicy.xmlファイルは、アウトオブバンド方式の導入方法を使用してエンドマシンに導入されます。 

保護を強化するために強く推奨されるリリース4.9.04053、4.9.05042、および4.9.06037の追加の構成設定があります。カスタムweb-deployの制限の完全なセットを次に示します。新しい設定とそれらの使用による影響の詳細については、リリースノートまたはCisco Bug ID CSCvw48062を参照してください。これらの設定により、この脆弱性の不正利用から保護しながら、プロファイルの更新や将来のソフトウェアアップグレードが可能になります。

  • 制限スクリプトWebDeploy
  • 制限ヘルプWebDeploy
  • RestrictResourceWebDeploy
  • ローカライズの制限WebDeploy

ローカルマシンでポリシーを編集する手順は、次のとおりです。ほとんどの導入シナリオでは、変更はAnyConnectLocalPolicy.xmlファイルに対して行われ、次にエンタープライズソフトウェア管理システムなどのアウトオブバンド方式の導入方法を使用して、すべてのクライアントマシンに導入されます。AnyConnectLocalPolicy.xml ファイルに対する変更は、sudo または管理者権限で行う必要があります。

  1. クライアントマシンでAnyConnectLocalPolicy.xmlファイルを見つけます。このファイルは次の場所にあります。
    • Windows:<ドライブ文字>:\ProgramData\Cisco\Cisco AnyConnectセキュアモビリティクライアント\
    • macOS:/opt/cisco/anyconnect/
    • Linux:/opt/cisco/anyconnect/
  2. テキストエディタでAnyConnectLocalPolicy.xmlファイルを開き、次の行を探します。 
    <RestrictScriptWebDeploy>false</RestrictScriptWebDeploy>
<RestrictHelpWebDeploy>false</RestrictHelpWebDeploy>
<RestrictResourceWebDeploy>false</RestrictResourceWebDeploy>
<RestrictLocalizationWebDeploy>false</RestrictLocalizationWebDeploy>
  3. 次の例に示すように、この設定をtrueに変更します。 
    <RestrictScriptWebDeploy>true</RestrictScriptWebDeploy>
<RestrictHelpWebDeploy>true</RestrictHelpWebDeploy>
<RestrictResourceWebDeploy>true</RestrictResourceWebDeploy>
<RestrictLocalizationWebDeploy>true</RestrictLocalizationWebDeploy>
  4. 次の行を探して、BypassDownloaderの設定が正しいことを確認します。 
    <BypassDownloader>false</BypassDownloader>
  5. BypassDownloaderの設定がtrueの場合は、次の例に示すように、設定をfalseに変更します。 
    <BypassDownloader>false</BypassDownloader>
  6. ファイルを元の場所に保存します。ネットワークパスは上記のとおりです。
  7. VPN Agentサービスを再起動するか、クライアントマシンをリブートします。
 

リリース4.9.04053よりのCisco AnyConnectセキュアモビリティクライアントソフトウェア

すでにBypassDownloader緩和策を適用しているお客様の場合

リリース4.9.04053より前のリリースを使用し、すでにBypassDownloaderの緩和を適用しているお客様は、この脆弱性の不正利用に対する保護を有効にするために、これ以上何もする必要はありません。この緩和策は推奨されないため、お客様はリリース4.10.00093にアップグレードし、「推奨事項」セクションに示す推奨設定を適用できます。

リリース4.10.00093以降にアップグレードできないお客様向け

リリース4.9.04053より前のリリースを使用し、リリース4.10.00093以降にアップグレードできないお客様や、VPNヘッドエンドデバイスの更新されたコンテンツをクライアントにダウンロードする必要がないお客様では、BypassDownloader設定を有効にすることによって緩和できます。

警告: BypassDownloader設定の変更は、ほとんどのお客様の環境では推奨されません。BypassDownloader が true に設定されていると、ローカル VPN XML プロファイルが VPN ヘッドエンドで設定されている期限を過ぎたものである場合、VPN ユーザは VPN ヘッドエンドからの接続を拒否される可能性があります。

注:BypassDownloader設定の有効化は、クライアントデバイス上でアウトオブバンドでのみ実行でき、次の影響があります。

  • Cisco AnyConnectセキュアモビリティクライアントソフトウェアまたはAnyConnectプロファイルに対する今後のすべてのアップデートは、アウトオブバンドで行う必要があります。AnyConnectは、ヘッドエンドデバイスから更新されたコンテンツをダウンロードしなくなります。
  • AnyConnectプロファイルは、引き続きヘッドエンドデバイスとクライアントの間で同期している必要があります。プロファイルが同期していない場合、VPN 接続は、ヘッドエンドまたはクライアントの設定ではなくデフォルト設定で確立される可能性があります。VPN ヘッドエンドが接続を拒否する可能性もあります。

次の手順により、ローカルマシンでポリシーを編集できます。ほとんどの導入シナリオでは、変更はAnyConnectLocalPolicy.xmlファイルに対して行われ、次にエンタープライズソフトウェア管理システムなどのアウトオブバンド方式の導入方法を使用して、すべてのクライアントマシンに導入されます。AnyConnectLocalPolicy.xml ファイルに対する変更は、sudo または管理者権限で行う必要があります。

  1. クライアントマシンでAnyConnectLocalPolicy.xmlファイルを見つけます。このファイルは次の場所にあります。
    • Windows:<ドライブ文字>:\ProgramData\Cisco\Cisco AnyConnectセキュアモビリティクライアント\
    • macOS:/opt/cisco/anyconnect/
    • Linux:/opt/cisco/anyconnect/
  2. テキストエディタでAnyConnectLocalPolicy.xmlファイルを開き、次の行を探します。 
    <BypassDownloader>false</BypassDownloader>
  3. 次の例に示すように、この設定をtrueに変更します。 
    <BypassDownloader>true</BypassDownloader>
  4. ファイルを元の場所に保存します。ネットワークパスは上記のとおりです。
  5. VPN Agentサービスを再起動するか、クライアントマシンをリブートします。

修正済みソフトウェア

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。

ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレード ソリューション一式を確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC(https://www.cisco.com/c/ja_jp/support/web/tsd-cisco-worldwide-contacts.html)に連絡してアップグレードを入手してください。

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。

修正済みリリース

シスコは、Cisco AnyConnectセキュアモビリティクライアントソフトウェアリリース4.10.00093以降でこの脆弱性を修正しました。

推奨事項

Cisco AnyConnectセキュアモビリティクライアントソフトウェア4.10.00093では、新しい設定が導入されました。ローカルポリシーでスクリプト、ヘルプ、リソース、またはローカライズの更新を個別に許可または禁止できるようになりました。保護を強化するために、これらの新しい設定を強く推奨します。すべての制限事項を次に示します。新しい設定値とそれが使用されることの詳細については、『管理者ガイド』の「AnyConnectローカルポリシー」セクションを参照してください。

構成設定名 デフォルト値  推奨される設定値
厳密な証明書信頼  False 正しい
RestrictServerCertStore  False 正しい
AllowSoftwareUpdatesFromAnyServer  正しい False
AllowComplianceUpdatesModuleFromAnyServer 正しい False
AllowManagementVPNProfileUpdatesFromAnyServer 正しい False
AllowISEPostureProfileUpdatesFromAnyServer 正しい False
AllowServiceProfileUpdatesFromAnyServer 正しい False
AllowScriptUpdatesFromAnyServer 正しい False
AllowScriptUpdatesFromAnyServer 正しい False
AllowHelpUpdatesFromAnyServer 正しい False
AllowResourceUpdatesFromAnyServer 正しい False
AllowLocalizationUpdatesFromAnyServer 正しい False
サーバ名 空白 承認されたサーバのリスト。
ワイルドカードを使用できます(*.cisco.comなど)。 
 

BypassDownloaderは新しい設定ではありませんが、falseに設定されていることを確認してください。 

構成設定名 デフォルト値  推奨される設定値
BypassDownloader False False
 

リリース4.10.00093以降で推奨設定を設定するには、AnyConnectLocalPolicy.xmlファイルを編集して、設定の値を上記の表に示した推奨値に変更します。その後、新しいAnyConnectLocalPolicy.xmlファイルがエンドマシンに導入されます。

ローカルマシンでポリシーを編集する手順は、次のとおりです。ほとんどの導入シナリオでは、変更はAnyConnectLocalPolicy.xmlファイルに対して行われ、次にエンタープライズソフトウェア管理システムなどのアウトオブバンド方式の導入方法を使用して、すべてのクライアントマシンに導入されます。AnyConnectLocalPolicy.xml ファイルに対する変更は、sudo または管理者権限で行う必要があります。

  1. クライアントマシンでAnyConnectLocalPolicy.xmlファイルを見つけます。このファイルは次の場所にあります。
    • Windows:<ドライブ文字>:\ProgramData\Cisco\Cisco AnyConnectセキュアモビリティクライアント\
    • macOS:/opt/cisco/anyconnect/
    • Linux:/opt/cisco/anyconnect/
  2. テキストエディタでAnyConnectLocalPolicy.xmlファイルを開き、次の行を探します。
<BypassDownloader>false</BypassDownloader>
<StrictCertificateTrust>true</StrictCertificateTrust>
<RestrictServerCertStore>true</RestrictServerCertStore>
<AllowSoftwareUpdatesFromAnyServer>false</AllowSoftwareUpdatesFromAnyServer>
<AllowComplianceUpdatesModuleFromAnyServer>false</AllowComplianceUpdatesModuleFromAnyServer>
<AllowManagementVPNProfileUpdatesFromAnyServer>false</AllowManagementVPNProfileUpdatesFromAnyServer>
<AllowISEPostureProfileUpdatesFromAnyServer>false</AllowISEPostureProfileUpdatesFromAnyServer>
<AllowServiceProfileUpdatesFromAnyServer>false</AllowServiceProfileUpdatesFromAnyServer>
<AllowScriptUpdatesFromAnyServer>false</AllowScriptUpdatesFromAnyServer>
<AllowHelpUpdatesFromAnyServer>false</AllowHelpUpdatesFromAnyServer>
<AllowResourceUpdatesFromAnyServer>false</AllowResourceUpdatesFromAnyServer>
<AllowLocalizationUpdatesFromAnyServer>false</AllowLocalizationUpdatesFromAnyServer>
 
  1. 設定の値が上記の値と一致しない場合は、値を変更します。
  2. 承認されたサーバ名をコンフィギュレーションファイルに追加します。 
    <ServerName> *.example.com </ServerName>
  3. ファイルを元の場所に保存します。ネットワークパスは上記のとおりです。
  4. VPN Agentサービスを再起動するか、クライアントマシンをリブートします。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)は、アドバイザリで説明されている脆弱性に対して概念実証段階のエクスプロイト コードが入手可能であることを認識しています。

このアドバイザリで説明されている脆弱性の悪用に関する情報は Cisco PSIRT に寄せられていません。

出典

シスコは、この脆弱性を報告していただいたSecure Mobile Networking Lab(TU Darmstadt)のGerbert Roitburd氏に感謝いたします。

URL

改訂履歴

バージョン 説明 セクション ステータス 日付
4.1 BypassDownloaderのタグ付け例を更新し、3つのインスタンスに閉じる「/」を含めました。 回避策、推奨事項 Final 2021年5月21日
4.0 修正済みリリース情報を追加。ユニバーサルWindowsプラットフォームの情報を追加。 概要、脆弱性が存在する製品、脆弱性を含んでいないことが確認された製品、回避策、修正済みリリース、推奨事項 Final 2021年5月12日
3.0 機能強化CSCvw48062に関する情報を追加。 概要、脆弱性が存在する製品、回避策、修正済みリリース Final 2020年12月4日
2.2 脆弱性に関する詳細情報を追加。緩和に関する情報を明確化。 詳細、回避策 Final 2020 年 11 月 10 日
2.1 緩和に関する情報を明確化。 回避策 Final 2020 年 11 月 9 日
2.0 攻撃を成功させるための要件を明確化。脆弱性のある設定と緩和策に関する情報を修正。 概要、脆弱性が存在する製品、回避策 Final 2020年11月5日
1.0 初回公開リリース Final 2020 年 11 月 4 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。