Juniper Networks Patches High-Severity Vulnerabilities in Junos OS
2023/07/13 SecurityWeek — 7月13日に Juniper Networks が発表したソフトウェア・アップデートは、同社の Junos OS/Junos OS Evolved/Junos Space に存在する、複数の深刻度の高い脆弱性に対処するものだ。Juniper が発表した 17件のアドバイザリには、約 12 件の Junos OS のセキュリティ脆弱性と、同社製品で使用されているサードパーティ製コンポーネントにおける 30 件以上もの脆弱性について詳述されている。
新たに公開されたアドバイザリのうちの3件は、Junos OS/Junos OS Evolved における、深刻度 High と評価された脆弱性に関するものだ。これらの脆弱性は、サービス拒否 (DoS) につながる可能性があり、QFX10000/MX/SRX series のネットワーキング・アプライアンスに影響する。
その他の8件のアドバイザリは、Junos OS/Junos OS Evolved における深刻度 Medium と評価された脆弱性に関するものだ。これらの脆弱性も、悪用されると DoS が発生する可能性がある。
今週にリリースされたソフトウェア・アップデートでは、これらの 11件の脆弱性全てが修正されている。
SRX series/MX series 向けのソフトウェア・アップデートも発表された。Juniper は、ネットワーク上の未認証の攻撃者が、DoS 状態を引き起こす可能性のある、侵入検知防御 (IDP:Intrusion Detection and Prevention) の深刻度 High の脆弱性を修正した。
同社は、これらの脆弱性が、攻撃に悪用された事実はないとしている。
Junos OS/Junos OS Evolved の最新アップデートには、PHP/NTP/MQTT (Message Queuing Telemetry Transport) の 17件の脆弱性に対するパッチも含まれており、この中には数年前から公開されている脆弱性も含まれている。
PHP の脆弱性のうち2つは、CVE-2021-21708/CVE-2022-31627 として追跡され、深刻度が Critical と評価されている。その他の8つの脆弱性 (PHP 4件/NTP 2件/MQTT 2件) は、深刻度 High とされている。
7月12日には、Junos Space 23.1R1 がリリースされ、サードパーティ製ソフトウェアの脆弱性 10件に対するパッチが提供された。このうちの5件は、深刻度 High と評価されている。
今週には Contrail Cloud 16.3.0 もリリースされ、Rack の 深刻なバグを含む、サードパーティ製コンポーネントなどの 10件の脆弱性に対するパッチが提供された。
Juniper Networks のユーザーに対しては、利用可能なセキュリティ・アップデートを直ちに適用することが推奨されている。解決された脆弱性に関する追加情報は、Juniper のサポート・ポータルで確認できる。
このブログを Juniper で検索したところ、2023/05/03 の「BGP に存在する3つの脆弱性:DoS 状態が無期限に延長される可能性」という記事が見つかりました。その他には、以下のものがあります。よろしければ、ご参照ください。
2022/10/28:Juniper Junos OS の深刻な脆弱性が FIX
2022/07/16:CISA 警告:Juniper の深刻な脆弱性に対して
2022/04/15:Juniper が 30件以上の脆弱性に対応
IoT OT Security News 
You must be logged in to post a comment.