Juniper Junos OS の複数の脆弱性 (JSA73176)

critical Nessus プラグイン ID 182922

Language:

概要

リモートデバイスに、ベンダーが提供したセキュリティパッチがありません。

説明

リモートホストにインストールされた Junos OS のバージョンは、JSA73176アドバイザに記載されている複数の脆弱性の影響を受けます。

- AES-NI アセンブリ最適化実装を使用する 32 ビット x86 プラットフォームの AES OCB モードは、一部の状況でデータ全体を暗号化しません。これにより、書き込まれなかったメモリに既存の 16 バイトのデータが漏洩する可能性があります。インプレース暗号化の特別なケースでは、平文の 16 バイトが漏洩します。OpenSSL は、TLS および DTLS の OCB ベースの暗号化パッケージをサポートしていないため、どちらも影響を受けません。OpenSSL 3.0.5で修正されました (3.0.0-3.0.4 が影響を受けました)。OpenSSL 1.1.1q で修正されました (1.1.1-1.1.1p が影響を受けます)。(CVE-2022-2097)

- OpenSSL 3.0.4リリースでは、AVX512IFMA の命令をサポートする X86_64 CPU の RSA 実装に重大なバグが導入されました。この問題により、そのようなマシンでは 2048 ビットの秘密鍵による RSA 実装が不正になり、計算中にメモリ破損が発生します。メモリ破損の結果として、攻撃者は計算を実行しているマシンでリモートコード実行をトリガーできる可能性があります。X86_64 アーキテクチャの AVX512IFMA 命令をサポートするマシンで実行されている 2048 ビット RSA 秘密鍵を使用する SSL/TLS サーバーまたはその他のサーバーが、この問題の影響を受けます。(CVE-2022-2274)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。