Attack Object Update

Size: px

Start display at page:

Download "Attack Object Update"

らむまきい
6 years ago
Views:

1 ユーザーパートナー各位 NOX T 2015 年 10 月 20 日ノックス株式会社技術本部 Juniper Networks Junos および ScreenOS における複数の脆弱性について (2015 年 10 月 ) 拝啓貴社ますますご盛栄の事とお喜び申し上げます平素は格別のご高配を賜り厚く御礼申し上げますさて Juniper Networks 社より Juniper Networks Junos および ScreenOS において複数の脆弱性の報告がございましたので下記の通りご案内させて頂きます敬具記アラート項目 1. OpenSSL ライブラリに関する複数の脆弱性について 2. TCP reassemble による DoS 攻撃 (CVE ) について 3. OpenSSH の脆弱性に伴うブルートフォースパスワード攻撃 (CVE ) について 4. 細工された IPv6 パケットによりカーネルパニックが引き起こされる問題 (CVE ) について 5. PFE daemon に対する DoS 攻撃 (CVE ) について 6. L2TP パケットを利用した DoS 攻撃 (CVE ) について 7. FTPS の脆弱性 (CVE ) について 8. pam.conf ファイルの脆弱性 (CVE ) について 9. SSH アクセスによる DoS 攻撃 (CVE ) について

2 1. OpenSSL ライブラリに関する複数の脆弱性について OpenSSL プロジェクトが 2015 年 6 月および 7 月に OpenSSL ライブラリに関する脆弱性の security advisories を公表していますこれに関連しておよび EX シリーズにおいてはいくつかの潜在的な脆弱性の影響を受けることが判明しています OpenSSL advisories に関しては以下を参照してください本アラートは以下の CVE に該当致します - CVE CVE CVE CVE CVE CVE なお CVE に関しては影響を受けません EX シリーズ High Junos 13.X Junos 14.X Junos 12.1X44-D55 以降 Junos 12.1X46-D40 以降 Junos 12.1X47-D25 以降

3 Junos 12.3X48-D20 以降 ( 近日公開予定 ) Junos 15.1X49-D20 以降 ( 近日公開予定 ) Junos 12.3R11 以降 Junos 13.2X51-D40 以降 ( 近日公開予定 ) Junos 15.1R2 以降 ( 近日公開予定 ) J-Web や XNM-SSL を無効にするか信頼できるネットワークからのみアクセスを許可する事でリスクを軽減する事が可能です

4 2. TCP reassemble による DoS 攻撃 (CVE ) についておよび EX シリーズにおいて特殊な順番となるように加工されたフラグメントパケットをデバイス自身が受信した際に全バッファリソースを消費しサービス停止を引き起こす可能性がありますデバイスを通過するトラフィックにおいてはこの問題のトリガにはならずサービス停止を引き起こすこともありません本アラートは CVE に該当致します EX シリーズ Medium Junos 13.X Junos 14.X Junos 12.1X44-D50 以降 Junos 12.1X46-D35 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D15 以降 ( 近日公開予定 ) Junos 12.3R10 以降信頼できるネットワークからのみ TCP アクセスを許可する事でリスクを軽減する事が可能ですまたデバイス自身に対するフラグメントパケットの受信を防ぐことによってもリスクを軽減する事が可能です

5 3. OpenSSH の脆弱性に伴うブルートフォースパスワード攻撃 (CVE ) についておよび EX シリーズにおいて OpenSSH の脆弱性により定義された回数の制限を超えた認証試行が可能になりますその結果ブルートフォースパスワード攻撃 ( 総当り攻撃 ) をされる恐れがあります本アラートは CVE に該当致します EX シリーズ Critical Junos 13.X Junos 14.X Junos 12.1X44-D55 以降 Junos 12.1X46-D40 以降 Junos 12.1X47-D30 以降 ( 近日公開予定 ) Junos 12.3X48-D20 以降 ( 近日公開予定 ) Junos 12.3X49-D20 以降 ( 近日公開予定 ) Junos 12.3R11 以降 Junos 13.2X51-D40 以降 ( 近日公開予定 ) Junos 15.1R2 以降 ( 近日公開予定 ) 信頼できるネットワークからのみアクセスを許可する事でリスクを軽減する事が可能ですまたパスワードベースではなくキーベースでの認証をすることによってもリスクを軽減する事が可能です

6 4. 細工された IPv6 パケットによりカーネルパニックが引き起こされる問題 (CVE ) についておよび EX シリーズにおいて特別に細工された IPv6 パケットにより mbuf チェーンの破損が発生し最終的に JUNOS のカーネルパニックが引き起こされる可能性があります IPv6 の設定がされていないデバイスは本脆弱性の影響は受けません本アラートは CVE に該当致します弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂けますようお願い致します EX シリーズ High Junos 11.X Junos 13.X Junos 14.X Junos 11.4R12-S4 以降 Junos 12.1X44-D41 以降 Junos 12.1X46-D26 以降 Junos 12.1X47-D11 以降 Junos 12.3X48-D10 以降 ( 近日公開予定 ) Junos 15.1X49-D10 以降 ( 近日公開予定 ) Junos 12.2R9 以降 Junos 12.3R8 以降 Junos 13.2X51-D26 以降 ( 近日公開予定 ) Junos 15.1R1 以降 ( 近日公開予定 )

7 5. PFE daemon に対する DoS 攻撃 (CVE ) について悪意のある攻撃者が vsrx のホスト OS に対して特定の接続要求を実行することで PFE daemon に対し DoS 攻撃が引き起こされる可能性があります本アラートは CVE に該当致します (vsrx のみ ) High Junos 15.1X49-D20 以降 ( 近日公開予定 ) vsrx のホスト OS へのアクセスを信頼できるネットワークからのみに制限する事でリスクを軽減する事が可能です

8 6. L2TP パケットを利用した DoS 攻撃 (CVE ) について ScreenOS の L2TP パケット処理に内在する脆弱性により遠隔の攻撃者から巧妙に細工された L2TP パケットを利用した DoS 攻撃が引き起こされる可能性があります本アラートは CVE に該当致します ScreenOS シリーズ High ScreenOS 6.X ScreenOS 6.3.0r20 以降 ( 近日公開予定 ) L2TP 設定を行わないことで問題を回避することが可能です

9 7. FTPS の脆弱性 (CVE ) についてにて ftps-extension 設定を有効とした環境でデータチャネル用に広範囲なポートを開放していると FTPS クライアントから一時的に FTPS サーバの全ての TCP ポートへアクセス可能となってしまいます本アラートは CVE に該当致します ftps-extension を含む FTP ALG の全体的な動作は実装に沿ったものであり変更されませんが不必要に広範囲な TCP データチャネルが確立されることを防ぐため Medium Junos 11.X Junos 12.1X44-D55 以降 Junos 12.1X46-D40 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D15 以降 ( 近日公開予定 ) Junos 15.1X49-D10 以降 ( 近日公開予定 ) ftps-extension 設定を無効とすることでリスクを回避することが可能ですなおデフォルトでは ftps-extension 設定は無効となっています

10 8. pam.conf ファイルの脆弱性 (CVE ) について特定の方法で pam.conf ファイルが破損した場合パスワードなしで root ユーザとしてデバイスにアクセス出来てしまう脆弱性があり攻撃者が pam.conf ファイルを改ざんすることでデバイスへのフルアクセスを得てしまう恐れがあります本アラートは CVE に該当致します EX シリーズ Medium Junos 11.X Junos 13.X Junos 14.X Junos 12.1X44-D50 以降 Junos 12.1X46-D35 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D15 以降 ( 近日公開予定 ) Junos 15.1X49-D10 以降 ( 近日公開予定 ) Junos 12.3R9 以降 Junos 13.2X51-D35 以降 ( 近日公開予定 ) Junos 14.1X53-D25 以降 Junos 15.1R1 以降 ( 近日公開予定 )

11 CLI へのアクセスを信頼できるネットワークからのみに制限する事でリスクを回避する事が可能です

12 9. SSH アクセスによる DoS 攻撃 (CVE ) について Junos 上で動作している SSH サーバにおいて認証されていない遠隔からの攻撃者により認証前の CPU 時間を長時間にわたり占有されてしまう脆弱性があり DoS 攻撃が引き起こされる可能性があります本アラートは CVE に該当致します EX シリーズ Medium Junos 11.X Junos 13.X Junos 14.X Junos 12.1X44-D50 以降 Junos 12.1X46-D35 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D10 以降 ( 近日公開予定 ) Junos 15.1X49-D20 以降 ( 近日公開予定 ) Junos 12.3R10 以降 Junos 13.2X51-D35 以降 ( 近日公開予定 ) Junos 14.1X53-D25 以降 Junos 15.1R1 以降 ( 近日公開予定 ) SSH アクセスを信頼できるネットワークからのみに制限する事でリスクを回避する事が可能です

13 本件に関してご不明な点は下記までお問い合わせ下さいノックス株式会社技術本部 TEL : juniper@nox.co.jp 以上

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) への対応について製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリこの度マイクロソフト社製品において緊急度の高い脆弱性 (CV

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) への対応について製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリこの度マイクロソフト社製品において緊急度の高い脆弱性 (CV iautolaymagic 技術情報 iautolaymagic に関する注意事項やトラブル発生時の対処方法などをご紹介しますご利用には製品ユーザー登録が必要です技術情報コードバージョン対象プラットフォームタイトルカテゴリ iautolaymagic-005 すべてすべて 2015 年 4 月 15 日に発表された Web アプリ HTTP.sys の脆弱性 (3042553) への対応について