- HOME
- Information
- Security Alert
- 複数の SSL VPN (Web VPN) 製品においてウェブブラウザのセキュリティが迂回される問題について
コンテンツ
Security Alert
複数の SSL VPN (Web VPN) 製品においてウェブブラウザのセキュリティが迂回される問題について
publication date : Dec. 2, 2009
複数の SSL VPN (Web VPN) 製品には,ウェブブラウザのセキュリティメカニズムを迂回可能な問題が存在します.
■影響を受けるシステム
SSL VPN (Web VPN) を実装している製品
■詳細情報
SSL VPN (Web VPN) は,ウェブブラウザを用いて組織内のネットワークリソース (ウェブサーバやメールサーバなど) へ安全にアクセス可能な手段を提供するための製品です.SSL VPN (Web VPN) 製品は,ウェブブラウザとサーバ間のプロキシとして,必要に応じてコンテンツの書き換えを行います.
SSL VPN (Web VPN) を通じて細工したウェブページをアクセスすることにより,ウェブブラウザのセキュリティメカニズム (Same Origin Policy) を迂回される可能性があります.
■想定される影響
ユーザが細工されたページを閲覧した場合,遠隔の第三者によって,VPN のセッションをハイジャックされたり,SSL VPN (Web VPN) を通じてアクセスしたコンテンツを閲覧されたり改ざんされたりするなどの可能性があります.
■対策方法
ワークアラウンドを実施する
SSL VPN (Web VPN) の管理者は以下のワークアラウンドを適用することで,本問題の影響を軽減することができます.
・URL の書き換えを信頼できるドメインに限定する
・VPN サーバの接続先を信頼できるドメインに限定する
・URL 隠ぺい (URL hiding) 機能を無効にする
下記関連情報を参考にされ,ご注意ください.
Related Information |
|
Inquiry |
京都大学 情報環境部 情報基盤課 情報セキュリティ対策室
TEL:075-753-7491/7492(7490/7491/7492) E-mail:i-s-officemedia.kyoto-u.ac.jp |