Comments
Description
Transcript
JunosおよびScreenOSにおける複数の脆弱性
NOX20150077-T 2015 年 10 月 20 日 ユーザー・パートナー 各位 ノックス株式会社 技術本部 Juniper Networks Junos および ScreenOS における 複数の脆弱性について(2015 年 10 月) 拝啓 貴社ますますご盛栄の事とお喜び申し上げます。平素は格別のご高配を賜り、厚く御礼申し上げます。 さて、Juniper Networks 社より、Juniper Networks Junos および ScreenOS において、複数の脆弱性の 報告がございましたので、下記の通りご案内させて頂きます。 敬具 記 アラート項目 1. OpenSSL ライブラリに関する複数の脆弱性について 2. TCP reassemble による DoS 攻撃 (CVE-2014-6449)について 3. OpenSSH の脆弱性に伴う ブルートフォースパスワード攻撃(CVE-2015-5600)について 4. 細工された IPv6 パケットによりカーネルパニックが引き起こされる問題(CVE-2014-6450)に ついて 5. PFE daemon に対する DoS 攻撃(CVE-2015-7749)について 6. L2TP パケットを利用した DoS 攻撃(CVE-2015-7750)について 7. FTPS の脆弱性(CVE-2015-5361)について 8. pam.conf ファイルの脆弱性(CVE-2015-7751)について 9. SSH アクセスによる DoS 攻撃(CVE-2015-7752)について 1. OpenSSL ライブラリに関する複数の脆弱性について 【アラート内容】 OpenSSL プロジェクトが 2015 年 6 月および 7 月に OpenSSL ライブラリに関する脆弱性の security advisories を公表しています。これに関連して SRX シリーズおよび EX シリーズにおいては、いくつかの潜 在的な脆弱性の影響を受けることが判明しています。OpenSSL advisories に関しては以下を参照してく ださい。 https://www.openssl.org/news/vulnerabilities.html 本アラートは以下の CVE に該当致します。 - CVE-2015-1791 - CVE-2015-1793 - CVE-2015-1790 - CVE-2015-1790 - CVE-2015-1792 - CVE-2015-1788 なお、CVE-2014-8176 に関しては影響を受けません。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 SRX シリーズ EX シリーズ 【危険度】 High 【該当するファームウェア】 Junos 12.X Junos 13.X Junos 14.X Junos 15.X 【対応するファームウェア】 Junos 12.1X44-D55 以降 Junos 12.1X46-D40 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D20 以降 (近日公開予定) Junos 15.1X49-D20 以降 (近日公開予定) Junos 12.3R11 以降 Junos 13.2X51-D40 以降 (近日公開予定) Junos 15.1R2 以降 (近日公開予定) 【ワークアラウンド】 J-Web や XNM-SSL を無効にするか、信頼できるネットワークからのみアクセスを許可する事でリスクを軽 減する事が可能です。 2. TCP reassemble による DoS 攻撃 (CVE-2014-6449)について 【アラート内容】 SRX シリーズおよび EX シリーズにおいて、特殊な順番となるように加工されたフラグメントパケットをデバイ ス自身が受信した際に、全バッファリソースを消費し、サービス停止を引き起こす可能性があります。デバイ スを通過するトラフィックにおいてはこの問題のトリガにはならず、サービス停止を引き起こすこともありませ ん。 本アラートは CVE-2014-6449 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 SRX シリーズ EX シリーズ 【危険度】 Medium 【該当するファームウェア】 Junos 12.X Junos 13.X Junos 14.X 【対応するファームウェア】 Junos 12.1X44-D50 以降 Junos 12.1X46-D35 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D15 以降 (近日公開予定) Junos 12.3R10 以降 【ワークアラウンド】 信頼できるネットワークからのみ TCPアクセスを許可する事でリスクを軽減する事が可能です。また、デバイ ス自身に対するフラグメントパケットの受信を防ぐことによってもリスクを軽減する事が可能です。 3. OpenSSH の脆弱性に伴う ブルートフォースパスワード攻撃(CVE-2015-5600)について 【アラート内容】 SRX シリーズおよび EX シリーズにおいて、OpenSSH の脆弱性により、定義された回数の制限を超えた認 証試行が可能になります。その結果、ブルートフォースパスワード攻撃(総当り攻撃)をされる恐れがありま す。 本アラートは CVE-2015-5600 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 SRX シリーズ EX シリーズ 【危険度】 Critical 【該当するファームウェア】 Junos 12.X Junos 13.X Junos 14.X Junos 15.X 【対応するファームウェア】 Junos 12.1X44-D55 以降 Junos 12.1X46-D40 以降 Junos 12.1X47-D30 以降 (近日公開予定) Junos 12.3X48-D20 以降 (近日公開予定) Junos 12.3X49-D20 以降 (近日公開予定) Junos 12.3R11 以降 Junos 13.2X51-D40 以降 (近日公開予定) Junos 15.1R2 以降 (近日公開予定) 【ワークアラウンド】 信頼できるネットワークからのみアクセスを許可する事でリスクを軽減する事が可能です。また、パスワード ベースではなく、キーベースでの認証をすることによってもリスクを軽減する事が可能です。 4. 細工された IPv6 パケットによりカーネルパニックが引き起こされる問題(CVE-2014-6450)について 【アラート内容】 SRX シリーズおよび EX シリーズにおいて、特別に細工された IPv6 パケットにより、mbuf チェーンの破損 が発生し、最終的に JUNOS のカーネルパニックが引き起こされる可能性があります。IPv6 の設定がされて いないデバイスは本脆弱性の影響は受けません。 本アラートは CVE-2014-6450 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂けますようお 願い致します。 【該当する機器】 SRX シリーズ EX シリーズ 【危険度】 High 【該当するファームウェア】 Junos 11.X Junos 12.X Junos 13.X Junos 14.X Junos 15.X 【対応するファームウェア】 Junos 11.4R12-S4 以降 Junos 12.1X44-D41 以降 Junos 12.1X46-D26 以降 Junos 12.1X47-D11 以降 Junos 12.3X48-D10 以降 (近日公開予定) Junos 15.1X49-D10 以降 (近日公開予定) Junos 12.2R9 以降 Junos 12.3R8 以降 Junos 13.2X51-D26 以降 (近日公開予定) Junos 15.1R1 以降 (近日公開予定) 5. PFE daemon に対する DoS 攻撃(CVE-2015-7749)について 【アラート内容】 悪意のある攻撃者が vSRX のホスト OS に対して特定の接続要求を実行することで PFE daemon に対し DoS 攻撃が引き起こされる可能性があります。 本アラートは CVE-2015-7749 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 SRX シリーズ(vSRX のみ) 【危険度】 High 【該当するファームウェア】 Junos 15.X 【対応するファームウェア】 Junos 15.1X49-D20 以降 (近日公開予定) 【ワークアラウンド】 vSRX のホスト OS へのアクセスを信頼できるネットワークからのみに制限する事でリスクを軽減する事が可 能です。 6. L2TP パケットを利用した DoS 攻撃(CVE-2015-7750)について 【アラート内容】 ScreenOS の L2TP パケット処理に内在する脆弱性により、遠隔の攻撃者から巧妙に細工された L2TP パ ケットを利用した DoS 攻撃が引き起こされる可能性があります。 本アラートは CVE-2015-7750 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 ScreenOS シリーズ 【危険度】 High 【該当するファームウェア】 ScreenOS 6.X 【対応するファームウェア】 ScreenOS 6.3.0r20 以降 (近日公開予定) 【ワークアラウンド】 L2TP 設定を行わないことで問題を回避することが可能です。 7. FTPS の脆弱性(CVE-2015-5361)について 【アラート内容】 SRX シリーズにて ftps-extension 設定 を有効とした環境で、データチャネル用に広範囲なポートを開放し ていると FTPS クライアントから一時的に FTPS サーバの全ての TCP ポートへアクセス可能となってしまい ます。 本アラートは CVE-2015-5361 に該当致します。 【今後の対応について】 ftps-extension を含む FTP ALG の全体的な動作は実装に沿ったものであり変更されませんが、不必要に 広範囲な TCP データチャネルが確立されることを防ぐため、弊社サポートサイトにて公開されております以 下の対応ファームウェアへアップグレードして頂くか、以下のワークアラウンドにて対応して頂けますようお 願い致します。 【該当する機器】 SRX シリーズ 【危険度】 Medium 【該当するファームウェア】 Junos 11.X Junos 12.X Junos 15.X 【対応するファームウェア】 Junos 12.1X44-D55 以降 Junos 12.1X46-D40 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D15 以降 (近日公開予定) Junos 15.1X49-D10 以降 (近日公開予定) 【ワークアラウンド】 ftps-extension 設定を無効とすることでリスクを回避することが可能です。 なお、デフォルトでは ftps-extension 設定は無効となっています。 8. pam.conf ファイルの脆弱性(CVE-2015-7751)について 【アラート内容】 特定の方法で pam.conf ファイルが破損した場合、パスワードなしで root ユーザとしてデバイスにアクセス 出来てしまう脆弱性があり、攻撃者が pam.conf ファイルを改ざんすることでデバイスへのフルアクセスを得 てしまう恐れがあります。 本アラートは CVE-2015-7751 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 SRX シリーズ EX シリーズ 【危険度】 Medium 【該当するファームウェア】 Junos 11.X Junos 12.X Junos 13.X Junos 14.X Junos 15.X 【対応するファームウェア】 Junos 12.1X44-D50 以降 Junos 12.1X46-D35 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D15 以降 (近日公開予定) Junos 15.1X49-D10 以降 (近日公開予定) Junos 12.3R9 以降 Junos 13.2X51-D35 以降 (近日公開予定) Junos 14.1X53-D25 以降 Junos 15.1R1 以降 (近日公開予定) 【ワークアラウンド】 CLI へのアクセスを信頼できるネットワークからのみに制限する事でリスクを回避する事が可能です。 9. SSH アクセスによる DoS 攻撃(CVE-2015-7752)について 【アラート内容】 Junos 上で動作している SSH サーバにおいて、認証されていない遠隔からの攻撃者により認証前の CPU 時間を長時間にわたり占有されてしまう脆弱性があり、DoS 攻撃が引き起こされる可能性があります。 本アラートは CVE-2015-7752 に該当致します。 【今後の対応について】 弊社サポートサイトにて公開されております以下の対応ファームウェアへアップグレードして頂くか、以下の ワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 SRX シリーズ EX シリーズ 【危険度】 Medium 【該当するファームウェア】 Junos 11.X Junos 12.X Junos 13.X Junos 14.X Junos 15.X 【対応するファームウェア】 Junos 12.1X44-D50 以降 Junos 12.1X46-D35 以降 Junos 12.1X47-D25 以降 Junos 12.3X48-D10 以降 (近日公開予定) Junos 15.1X49-D20 以降 (近日公開予定) Junos 12.3R10 以降 Junos 13.2X51-D35 以降 (近日公開予定) Junos 14.1X53-D25 以降 Junos 15.1R1 以降 (近日公開予定) 【ワークアラウンド】 SSH アクセスを信頼できるネットワークからのみに制限する事でリスクを回避する事が可能です。 本件に関してご不明な点は、下記までお問い合わせ下さい。 ノックス株式会社 技術本部 TEL : 03-5731-5551 e-Mail : [email protected] 以上