Juniper Networks Publishes Dozens of New Security Advisories
2024/04/15 SecurityWeek — 先週に Juniper Networks は、Junos OS/Junos OS Evolved などに存在する、全体で 100件以上にのぼる脆弱性に対する、数十件のアドバイザリを発表した。公開されたアドバイザリのうちの3件は、いずれも対象製品で使用されているサードパーティ製ソフトウェアのセキュリティ上の欠陥に対処したものであり、重要度 “Critical” と評価されている。
1つ目は、オープンソースのデータ転送ツールである cURL の脆弱性9件を修正したものだ。修正された脆弱性のうちの4件は、2018年/2023年に公表されたものであり、重要度 “Critical” とされている。
また、Juniper Networks の Junos cRPD と Cloud Native Router に含まれる、サードパーティ・ソフトウェアの脆弱性に関するアドバイザリも公開された。8件の深刻な脆弱性を含む、80件以上の脆弱性に対してパッチがリリースされた。
さらに同社は、Junos OS/Junos OS Evolved/Paragon Active Assurance Control Center に存在する、深刻度の高い脆弱性に関する、10件のアドバイザリも発表した。
このうち最も深刻なのものは、Paragon Active Assurance 4.1.0/4.2.0 に存在する、情報漏えいの脆弱性である。同社はアドバイザリで、「ネットワークに隣接する攻撃者が、Test Agent Appliance の root 権限を持っている場合に、ダウンストリーム・デバイスに関する機密情報にアクセスすることが可能となる」と説明している。
さらに、Junos OS/Junos OS Evolved に存在する、ネットワーク・ベースの未認証の攻撃者に悪用される可能性のある、8件の深刻度の高いサービス拒否 (DoS:Denial-of-Service) の脆弱性に対するパッチもリリースされた。
Junos OS Evolved に含まれる、libslax ライブラリの3つの脆弱性に関するアドバイザリもリリースされた。これらの脆弱性は、2021年に公開されたものだ。
Juniper Networks が発表した他の十数件のアドバイザリは、Junos OS/Junos OS Evolved に影響を及ぼす、重要度 Medium に分類される脆弱性に関するものだ。
これらの脆弱性が攻撃者に悪用されると、DoS 状態/機密情報の漏洩/トラフィックのブロックの失敗/トラフィック認証の失敗などが生じる可能性があるという。
これらの脆弱性のうち、最も深刻なものについては、現時点では回避策が存在しない。したがって、Juniper Networks ユーザーに推奨されるのは、可能な限り早急にアプライアンスをアップデートすることだ。
Juniper から大量のアップデートがリリースされたとのことです。リンクも無いので、ソースが分かりませんが、同社の Knowledge Base から辿ってみたら、”Article ID KB21476:Created 2011-07-19:Last Updated 2024-04-18” というのが見つかりました、たぶん、これなんだろうと思います。このページから、リンクがたくさん飛んでいますが、その先はログインが必要となっていました。よろしければ、Juniper で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.