NOX20150003-T 2015 年 1 月 16 日 ユーザー・パートナー 各位 ノックス株式会社 技術本部 Juniper Networks SRX シリーズおよび EX シリーズにおける 複数の脆弱性について(2015 年 1 月) 拝啓 貴社ますますご盛栄の事とお喜び申し上げます。平素は格別のご高配を賜り、厚く御礼申し上げます。 さて、Juniper Networks 社より、Juniper Networks SRX シリーズおよび EX シリーズにおいて、複数の脆 弱性の報告がございましたので、下記の通りご案内させて頂きます。 敬具 記 アラート項目 1. 権限が昇格されてしまう脆弱性(CVE-2014-6384)について 2. フ ラ グ メ ン ト さ れ た OSPFv3 IPsec に よ り カ ー ネ ル ク ラ ッ シ ュ が 発 生 す る 問 題 (CVE-2014-6385)について 3. libxml2 ライブラリに関する複数の脆弱性について 4. 不正な BGP FlowSpec prefix により rpd がクラッシュする問題(CVE-2014-6386)について 1. 権限が昇格されてしまう脆弱性(CVE-2014-6384)について 【アラート内容】 SRX シリーズおよび EX シリーズにおいて、TACACS+のダブルクォーテーションを含む権限属性の処理の 問題により、認証されたユーザが本来実行できないはずのコマンドを実行できてしまう可能性があります。 本アラートは CVE-2014-6384 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 EX シリーズ SRX シリーズ 【危険度】 Medium 【該当するファームウェア】 Junos 12.X 【対応するファームウェア】 Junos 12.1X44-D45 以降 (近日公開予定) Junos 12.1X46-D25 以降 Junos 12.1X47-D15 以降 (近日公開予定) Junos 12.3R9 以降 (近日公開予定) 【ワークアラウンド】 TACACS+上において、ダブルクォーテーションを含む設定を行わないことにより問題を回避することがで きます。 2. フラグメントされた OSPFv3 IPsec によりカーネルクラッシュが発生する問題(CVE-2014-6385)につい て 【アラート内容】 SRX シリーズおよび EX シリーズにおいて、IPsec AH(Authentication Header)を含む特別に細工されたフ ラグメント OSPFv3 パケットを受信する事により、カーネルのクラッシュが発生する可能性があります。 本アラートは CVE-2014-6385 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 EX シリーズ SRX シリーズ 【危険度】 Medium 【該当するファームウェア】 Junos 11.X Junos 12.X 【対応するファームウェア】 Junos 11.4R13 以降 Junos 12.1X44-D45 以降 (近日公開予定) Junos 12.1X46-D30 以降 (近日公開予定) Junos 12.1X47-D15 以降 (近日公開予定) Junos 12.2R9 以降 Junos 12.3R8 以降 【ワークアラウンド】 OSPFv3 の設定に対し AH オプションの使用を停止することにより問題を回避することができま す。 3. libxml2 ライブラリに関する複数の脆弱性について 【アラート内容】 SRX シリーズ及び EX シリーズにおいて libxml2 ライブラリに関する以下の複数の脆弱性が内在することが 確認されております。これにより、CLI、J-Web、JUNOScript、NETCONF といった libxml2 ライブラリを利用 するサービスを通じて、DoS や権限昇格によるコード実行といった問題が引き起こされる可能性があります。 尚、本脆弱性は libxml2 ライブラリが 2.7.6 から 2.9.1 へとアップデートされることで解消されます。 本アラートは以下の CVE に該当致します。 CVE-2011-1944 CVE-2012-5134 CVE-2012-0841 CVE-2013-2877 CVE-2013-0338 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 EX シリーズ SRX シリーズ 【危険度】 Critical 【該当するファームウェア】 Junos 11.X Junos 12.X Junos 13.X 【対応するファームウェア】 Junos 11.4R13 以降 Junos 12.1X44-D35 以降 Junos 12.1X45-D30 以降 Junos 12.1X46-D25 以降 Junos 12.1X47-D10 以降 (近日公開予定) Junos 12.2R9 以降 Junos 12.3R7 以降 Junos 13.2X51-D25 以降 (近日公開予定) 【ワークアラウンド】 次の方法でリスクを軽減することが可能です。 1. 信頼するホスト及びユーザからのみ機器にアクセスできるよう access list や firewall filter で制限をか ける 2. J-Web、JUNOScript、NETCONF を無効とし、CLI へのアクセスを信頼するユーザのみに限定する 4. 不正な BGP FlowSpec prefix により rpd がクラッシュする問題(CVE-2014-6386)について 【アラート内容】 SRX シリーズおよび EX シリーズにおいて、不正な BGP FlowSpec prefix を受信することにより特定の仕 様違反が検出されるに伴い処理の中断が引き起こされる問題が確認されております。これにより、rpd がク ラッシュし再起動する可能性があります。 本アラートは CVE-2014-6386 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 EX シリーズ SRX シリーズ 【危険度】 High 【該当するファームウェア】 Junos 11.X Junos 12.X Junos 13.X 【対応するファームウェア】 Junos 11.4R8 以降 Junos 12.1X44-D35 以降 Junos 12.1X45-D25 以降 Junos 12.1X46-D20 以降 Junos 12.1X47-D10 以降 (近日公開予定) Junos 12.2R9 以降 Junos 12.3R3 以降 【ワークアラウンド】 次の方法でリスクを軽減することが可能です。 1. 信頼できる BGP ピアに対してのみ FlowSpec NLRI を設定する 2. MD5 認証を使用する 本件に関してご不明な点は、下記までお問い合わせ下さい。 ノックス株式会社 技術本部 TEL : 03-5731-5551 e-Mail : [email protected] 以上
© Copyright 2024 ExpyDoc
