プラットフォーム
linux
コンポーネント
libreswan
修正版
3.29.1
CVE-2019-10155は、LibreswanにおけるIKEv1情報交換パケット処理の脆弱性です。暗号化され整合性保護されたパケットの整合性チェックが適切に行われず、情報漏洩のリスクがあります。この脆弱性は、Libreswanのバージョン3.29以前に影響を与えます。バージョン3.29へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者は機密情報を含むIKEv1情報交換パケットを傍受し、盗み出す可能性があります。これにより、VPN接続の認証情報や設定情報が漏洩し、ネットワークへの不正アクセスにつながる可能性があります。特に、機密性の高い情報をVPN経由でやり取りする環境では、重大な影響を及ぼす可能性があります。類似の脆弱性は、VPN接続のセキュリティを脅かす事例として報告されています。
CVE-2019-10155は、2019年6月12日に公開されました。現時点では、公的に利用可能なPoCは確認されていませんが、IKEv1プロトコルの脆弱性は過去に悪用事例が報告されており、今後悪用される可能性も考慮する必要があります。CISA KEVリストには登録されていません。
Organizations and individuals utilizing Libreswan for IPsec VPN connections, particularly those relying on IKEv1 for compatibility with older systems, are at risk. Shared hosting environments where Libreswan is deployed could also be affected if the underlying infrastructure is vulnerable.
• linux / server:
journalctl -u libreswan | grep -i ikev1• linux / server:
ps aux | grep libreswan• linux / server:
ss -t udp | grep 500disclosure
エクスプロイト状況
EPSS
0.22% (45% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、Libreswanをバージョン3.29以降にアップデートすることを推奨します。アップデートが困難な場合は、IKEv1の使用を無効化するか、より安全なプロトコルへの移行を検討してください。ファイアウォールやIPSなどのセキュリティ機器で、IKEv1のトラフィックを監視し、不審な通信を検出するルールを設定することも有効です。アップデート後、整合性チェックが正常に機能していることを確認してください。
Libreswanを3.29以降のバージョンにアップデートしてください。このアップデートは、IKEv1パケット処理における脆弱性を修正します。アップデート方法については、Libreswanのウェブサイトを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2019-10155は、LibreswanのIKEv1情報交換パケット処理における脆弱性で、整合性チェックの不備により情報漏洩のリスクがあります。
Libreswanのバージョンが3.29以前の場合、この脆弱性に影響を受ける可能性があります。
Libreswanをバージョン3.29以降にアップデートしてください。アップデートが難しい場合は、IKEv1の使用を無効化するか、より安全なプロトコルへの移行を検討してください。
現時点では公的な悪用事例は確認されていませんが、IKEv1プロトコルの脆弱性は過去に悪用事例が報告されており、今後悪用される可能性も考慮する必要があります。
Libreswanプロジェクトの公式ウェブサイトでアドバイザリを確認してください: https://www.libreswan.org/security/.