Juniper Networks released +40 security advisories to fix +70 vulnerabilities
2021/10/15 SecurityAffairs — サイバーセキュリティ・プロバイダーの Juniper Networks は、同社のソリューションに影響する 70件以上の脆弱性に対処するため、40以上のセキュリティ・アドバイザリを発表した。
米国 CISA も、Juniper Networks がリリースしたセキュリティ・アップデートについて、各種組織に対して警告するセキュリティ・アドバイザリを発行した。CISA のアドバイザリには、「Juniper Networks がは、複数の製品に影響をおよぼす脆弱性に対処するための、セキュリティ・アップデートを公開した。攻撃者たちは、これらの脆弱性の一部を悪用して、システムを乗っ取る可能性がある。ユーザーや管理者に対して、Juniper Networks のセキュリティ・アドバイザリを確認し、必要なアップデートを適用することを、CISA としても推奨する」と記されている。
同社が対処した欠陥には、リモートコード実行/特権昇格/DoS/XSS などの脆弱性がある。脆弱性の大部分は、Juniper の Junos OS オペレーティング・システムに影響を与えるものである。最も深刻な問題は、Contrail Insights と Technology Session Smart Routers で使用されている、サードパーティ製コンポーネントに起因する。
| CVE-2019-15605 | 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) | HTTP request smuggling in Node.js 10, 12, and 13 causes malicious payload delivery when transfer-encoding is malformed |
| CVE-2019-15606 | 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) | Including trailing white space in HTTP header values in Nodejs 10, 12, and 13 causes bypass of authorization based on header value comparisons |
Juniper Networks によると、今回のアドバイザリで対応した脆弱性を、悪用した攻撃は確認されていないとのことだ。
Juniper の脆弱性ですが、今週に43件のレポートをアップしたとのことです。Oracle の年に4回の定例アップデートとも重なり、大変だったようです。文中にある CVE-2019-15605 と CVE-2019-15606 は、リモートからの悪用が可能な脆弱性で、CVSS スコアは 9.8 なので、アップデートを急いでください。原因はサードパーティ・コンポーネントとのことですが、CVE からたどったところ、どうやら Node.js のようです。
IoT OT Security News 