Juniper Networks がセキュリティ・アドバイザリを発表:70件以上の脆弱性に対応

Juniper Networks released +40 security advisories to fix +70 vulnerabilities

2021/10/15 SecurityAffairs — サイバーセキュリティ・プロバイダーの Juniper Networks は、同社のソリューションに影響する 70件以上の脆弱性に対処するため、40以上のセキュリティ・アドバイザリを発表した。

米国 CISA も、Juniper Networks がリリースしたセキュリティ・アップデートについて、各種組織に対して警告するセキュリティ・アドバイザリを発行した。CISA のアドバイザリには、「Juniper Networks がは、複数の製品に影響をおよぼす脆弱性に対処するための、セキュリティ・アップデートを公開した。攻撃者たちは、これらの脆弱性の一部を悪用して、システムを乗っ取る可能性がある。ユーザーや管理者に対して、Juniper Networks のセキュリティ・アドバイザリを確認し、必要なアップデートを適用することを、CISA としても推奨する」と記されている。

同社が対処した欠陥には、リモートコード実行/特権昇格/DoS/XSS などの脆弱性がある。脆弱性の大部分は、Juniper の Junos OS オペレーティング・システムに影響を与えるものである。最も深刻な問題は、Contrail Insights と Technology Session Smart Routers で使用されている、サードパーティ製コンポーネントに起因する。

CVE-2019-156059.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)HTTP request smuggling in Node.js 10, 12, and 13 causes malicious payload delivery when transfer-encoding is malformed
CVE-2019-156069.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)Including trailing white space in HTTP header values in Nodejs 10, 12, and 13 causes bypass of authorization based on header value comparisons

Juniper Networks によると、今回のアドバイザリで対応した脆弱性を、悪用した攻撃は確認されていないとのことだ。

Juniper の脆弱性ですが、今週に43件のレポートをアップしたとのことです。Oracle の年に4回の定例アップデートとも重なり、大変だったようです。文中にある CVE-2019-15605 と CVE-2019-15606 は、リモートからの悪用が可能な脆弱性で、CVSS スコアは 9.8 なので、アップデートを急いでください。原因はサードパーティ・コンポーネントとのことですが、CVE からたどったところ、どうやら Node.js のようです。

%d bloggers like this: