製品・ソフトウェアに関する情報

JVN脆弱性詳細

Check Point Software Technologies 製品における情報漏えいの脆弱性

タイトル	Check Point Software Technologies 製品における情報漏えいの脆弱性
概要	Check Point Software Technologies が提供する複数の製品には、情報漏えい (CWE-200、<a href="https://www.cve.org/CVERecord?id=CVE-2024-24919"target="blank">CVE-2024-24919</a> ) の脆弱性が存在します。この脆弱性情報は、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
想定される影響	遠隔の攻撃者によって、認証処理を経ずに当該製品上の機微な情報を取得される可能性があります。
対策	[Hotfix を適用する] 開発者が提供する情報をもとに、 Hotfix を適用してください。 [軽減策を実施する] 開発者は Hotfix の適用に加え、軽減策となる複数の施策を紹介しています。詳細は、 <a href="https://support.checkpoint.com/results/sk/sk182336"target="blank">開発者が提供する情報</a> を確認してください。
公表日	2024年7月23日0:00
登録日	2024年7月25日16:38
最終更新日	2024年10月24日16:17

影響を受けるシステム

チェック・ポイント・ソフトウェア・テクノロジーズ

CloudGuard Network

Quantum Maestro

Quantum Scalable Chassis

Quantum Security Gateways

Quantum Spark Appliances

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-24919	https://www.cve.org/CVERecord?id=CVE-2024-24919
National Vulnerability Database (NVD)
2	CVE-2024-24919	https://nvd.nist.gov/vuln/detail/CVE-2024-24919

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	名前	URL
RTシリーズのセキュリティに関するFAQ
1	「ヤマハ UTX200/UTX100 のリモートアクセスVPNに関する脆弱性」について	https://www.rtpro.yamaha.co.jp/RT/FAQ/Security/CVE-2024-24919.html
チェック・ポイント・ソフトウェア・テクノロジーズ
2	CPAI-2024-0353 \| Check Point VPN Information Disclosure (CVE-2024-24919)	https://advisories.checkpoint.com/defense/advisories/public/2024/cpai-2024-0353.html
3	sk182336 \| Preventative Hotfix for CVE-2024-24919 - Quantum Gateway Information Disclosure	https://support.checkpoint.com/results/sk/sk182336
4	sk182357 \| Preventative Hotfix for CVE-2024-24919 - Quantum Spark Gateways	https://support.checkpoint.com/results/sk/sk182357

その他

No	名前	URL
JPCERT 緊急報告
1	Check Point Software Technologies 社製品の VPN 機能における情報漏えいの脆弱性 (CVE-2024-24919) について	https://www.jpcert.or.jp/newsflash/2024053001.html
JVN
2	JVNVU#98330908	https://jvn.jp/vu/JVNVU98330908/index.html

変更履歴

No	変更内容	変更日
1	[2024年07月25日] 掲載	2024年7月25日16:13
2	[2024年10月24日] ベンダ情報：ヤマハ (「ヤマハ UTX200/UTX100 のリモートアクセスVPNに関する脆弱性」について) を追加	2024年10月24日10:14

NVD脆弱性情報

CVE-2024-24919

概要	Potentially allowing an attacker to read certain information on Check Point Security Gateways once connected to the internet and enabled with remote Access VPN or Mobile Access Software Blades. A Security fix that mitigates this vulnerability is available.
公表日	2024年5月29日4:15
登録日	2024年5月29日10:00
最終更新日	2024年11月21日17:59

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:checkpoint:quantum_security_gateway_firmware:r80.40:::::::*
実行環境
1	cpe:2.3:h:checkpoint:quantum_security_gateway:-:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:checkpoint:cloudguard_network_security:r81.20:::::::*
cpe:2.3:a:checkpoint:cloudguard_network_security:r81.10:::::::*
cpe:2.3:a:checkpoint:cloudguard_network_security:r81.0:::::::*
cpe:2.3:a:checkpoint:cloudguard_network_security:r80.40:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:checkpoint:quantum_security_gateway_firmware:r81.20:::::::*
実行環境
1	cpe:2.3:h:checkpoint:quantum_security_gateway:-:::::::*

構成4		以上	以下	より上	未満
cpe:2.3:o:checkpoint:quantum_security_gateway_firmware:r81.10:::::::*
実行環境
1	cpe:2.3:h:checkpoint:quantum_security_gateway:-:::::::*

構成5		以上	以下	より上	未満
cpe:2.3:o:checkpoint:quantum_security_gateway_firmware:r81.0:::::::*
実行環境
1	cpe:2.3:h:checkpoint:quantum_security_gateway:-:::::::*

構成6		以上	以下	より上	未満
cpe:2.3:o:checkpoint:quantum_spark_firmware:r81.10:::::::*
実行環境
1	cpe:2.3:h:checkpoint:quantum_spark:-:::::::*

構成7		以上	以下	より上	未満
cpe:2.3:o:checkpoint:quantum_spark_firmware:r80.20:::::::*
実行環境
1	cpe:2.3:h:checkpoint:quantum_spark:-:::::::*

No	URL	refsource	タグ
1	https://support.checkpoint.com/results/sk/sk182336		Mitigation Patch Vendor Advisory
2	https://support.checkpoint.com/results/sk/sk182336		Mitigation Patch Vendor Advisory