United States Computer Emergency Readiness Team (US-CERT)は7月9日(米国時間)、「Juniper Networks Releases Security Updates for Multiple Products|CISA」において、Juniper Networksの複数製品に脆弱性が存在し、開発元によってこれを修正するセキュリティアップデートがリリースされたと伝えた。対象の脆弱性を悪用されると、攻撃者によってシステムがクラッシュやサービス拒否(DoS:Denial of Service)の状態に陥らされたり、リモートから任意のコードを実行されたりするなどの危険性がある。

  • Juniper Networks Releases Security Updates for Multiple Products|CISA

    Juniper Networks Releases Security Updates for Multiple Products | CISA

該当する脆弱性およびセキュリティアップデートに関する情報は、開発元による次のページで公開されている。

今回公表された脆弱性の対象となるプロダクトは次の通り。Junos OSを搭載する製品全体が影響を受けるため、対象範囲は広い。

  • Junos OS
  • Junos OS Evolved
  • Juniper Secure Analytics
  • Junos SpaceおよびJunos Space Security Director
  • Juniper Networks SRC (Session and Resource Control)

報告されている19個の脆弱性のうち、4個は深刻度が"緊急"(Critical) であり、早急な対応が必要。そのほか、10個が"重要"(high)、5個が"警告"(medium)に分類されている。緊急のものは以下のとおり。

  • Junos OSのHTTPメッセージ処理にDouble Free(二重解放)脆弱性があり、サービス拒否またはリモートコードの実行につながる危険性がある(JSA11034
  • JSA11034
  • SRXに搭載されたJunos OSにおいて、ICAPリダイレクトが有効な場合に不正なHTTPメッセージを処理すると、プロセスのクラッシュやリモートコードの実行される危険性がある(JSA11031
  • MFX150で使用しているIntel製ファームウェアの脆弱性によって、サービス拒否や特権昇格、情報漏洩などの危険性がある(INTEL-SA-00241
  • Junos SpaceおよびJunos Space Security Directorにおけるサードパーティ製のソフトウェアにリモートコード実行やサービス拒否を含むさまざまな脆弱性が存在する(JSA11023

上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することが推奨される。