Juniper Networks Patches Vulnerabilities in Contrail Networking, Junos OS
2022/04/15 SecurityWeek — 今週に Juniper Networks は、同社のポートフォリオ全体で 30件以上の脆弱性に対するパッチをリリースしたが、その中には Contrail Networking や Junos OS の深刻な欠陥も含まれる。また、Contrail Networking Software-Defined Networking (SDN) ソリューションにおける、合計で 13件のセキュリティホールを説明する、2つのアドバイザリが発表されたが、その中の 7件の脆弱性は CVSS 値は 9.0 以上であった。
1つ目のアドバイザリは、Contrail Networking 2011.L4 未満に影響する、10 件の問題をカバーしている。これらのセキュリティ欠陥のうち、5つは Critical と評価され、その全ては昨年に確認されたものだ。最も深刻なのは、Pillow における2つのバッファ・オーバーフローの脆弱性 CVE-2021-25289/CVE-2021-34552 と、Apache HTTP Server のヒープ・オーバーフロー の脆弱性 CVE-2021-26691 であり、3件とも CVSS 9.8 である。他の2つは、nginx resolver における脆弱性 CVE-2021-23017 と、xmlhttprequest-ssl パッケージ における脆弱性 CVE-2021-31597 であり、どちらも CVSS 9.4 である。
2つ目のアドバイザリは、Contrail Networking の Ver 21.3 未満における、2つの深刻な問題を記している。そこには、Git for Visual Studio におけるリモートコード実行の脆弱性 CVE-2019-1349 と、PCRE の pcre_compile.c pcre_compile 関数におけるサービス拒否の脆弱性 CVE-2015-8391 が含まれる。
今週に Juniper Networks は、Junos OS/Junos OS Evolved の14件の脆弱性に対するパッチも発表した。その中の 10件は、特定の条件下でのコード実行や DoS につながる可能性がある、High と評価される欠陥である。Juniper は、Junos OS の脆弱性の悪用は認識していないとしているが、可能な限り早急にパッチ適用するよう顧客に呼びかけている。
米 Cybersecurity and Infrastructure Security Agency (CISA) も、ユーザーや管理者が勧告を確認し、必要な修正プログラムを早急に適用するよう呼びかけている。CISA は、「攻撃者は、これらの脆弱性のいくつかを悪用して、影響を受けるシステムを制御することができる」と警告している。
Juniper の脆弱性情報は、一度に大量に出てくるので辛いと、お隣のキュレーション・チームが泣いていました。文中にある Pillow の CVE-2021-25289 などは、2021年3月には Ubuntu が、11月には Red Hat が対応しているもので、Juniper に関しては 2022年4月20日にレポートしたとのことです。なお、Juniper の脆弱性情報に関しては、2021年7月の「Juniper 製品ポートフォリオの多数の脆弱性にパッチが提供された」と、10月の「Juniper Networks がセキュリティ・アドバイザリを発表:70件以上の脆弱性に対応」がありますので、よろしければ、ご参照ください。
IoT OT Security News 