United States Computer Emergency Readiness Team (US-CERT)は7月9日(米国時間)、「Juniper Networks Releases Security Updates for Multiple Products|CISA」において、Juniper Networksの複数製品に脆弱性が存在し、開発元によってこれを修正するセキュリティアップデートがリリースされたと伝えた。対象の脆弱性を悪用されると、攻撃者によってシステムがクラッシュやサービス拒否(DoS:Denial of Service)の状態に陥らされたり、リモートから任意のコードを実行されたりするなどの危険性がある。
-
Juniper Networks Releases Security Updates for Multiple Products | CISA
該当する脆弱性およびセキュリティアップデートに関する情報は、開発元による次のページで公開されている。
今回公表された脆弱性の対象となるプロダクトは次の通り。Junos OSを搭載する製品全体が影響を受けるため、対象範囲は広い。
- Junos OS
- Junos OS Evolved
- Juniper Secure Analytics
- Junos SpaceおよびJunos Space Security Director
- Juniper Networks SRC (Session and Resource Control)
報告されている19個の脆弱性のうち、4個は深刻度が"緊急"(Critical) であり、早急な対応が必要。そのほか、10個が"重要"(high)、5個が"警告"(medium)に分類されている。緊急のものは以下のとおり。
- Junos OSのHTTPメッセージ処理にDouble Free(二重解放)脆弱性があり、サービス拒否またはリモートコードの実行につながる危険性がある(JSA11034)
- (JSA11034)
- SRXに搭載されたJunos OSにおいて、ICAPリダイレクトが有効な場合に不正なHTTPメッセージを処理すると、プロセスのクラッシュやリモートコードの実行される危険性がある(JSA11031)
- MFX150で使用しているIntel製ファームウェアの脆弱性によって、サービス拒否や特権昇格、情報漏洩などの危険性がある(INTEL-SA-00241)
- Junos SpaceおよびJunos Space Security Directorにおけるサードパーティ製のソフトウェアにリモートコード実行やサービス拒否を含むさまざまな脆弱性が存在する(JSA11023)
上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することが推奨される。
Rustで有名アルゴリズムに挑戦 第17回 RustでHTTPサーバを実装してみよう
