Juniper Junos 複数の OpenSSL 脆弱性(JSA10649)
high Nessus プラグイン ID 78420
Language:
概要
リモート装置に、ベンダーが提供したセキュリティパッチがありません。説明
自己報告されたバージョン番号によると、リモート Junos デバイスは、OpenSSL の実装の複数の脆弱性の影響を受けます:- 「ec point format extension」の処理およびマルチスレッド化されたクライアントに関連するエラーがあることにより、再開されたセッション中に、解放されたメモリに上書きできます。
(CVE-2014-3509)
- フラグメント化された「ClientHello」メッセージの処理に関連するエラーがあることにより、中間攻撃者は、サーバーとクライアントの両方でより高いレベルのプロトコルがサポートされているかとは無関係に、TLS 1.0 の使用を強制できます。(CVE-2014-3511)
- Secure Remote Password プロトコル(SRP)パラメーターの処理に関連するバッファオーバーフローが存在し、特定されない影響を及ぼします。(CVE-2014-3512)
- Secure Remote Password プロトコル(SRP)の処理に関連する NULL ポインターデリファレンスエラーが存在します。これにより、悪意あるサーバーがクライアントをクラッシュして、サービス拒否を引き起こす可能性があります。(CVE-2014-5139)
注意:これらの問題は、JUNOScript を有効化するための J-Web または SSL サービスのあるデバイスのみに影響を与えます。
ソリューション
Juniper アドバイザリ JSA10649 で参照されている、関連のある Junos ソフトウェアリリースまたは回避策を適用してください。参考資料
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10649
プラグインの詳細
深刻度: High
ID: 78420
ファイル名: juniper_jsa10649.nasl
バージョン: 1.10
タイプ: combined
ファミリー: Junos Local Security Checks
公開日: 2014/10/14
更新日: 2018/7/12
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: cpe:/o:juniper:junos
必要な KB アイテム: Host/Juniper/JUNOS/Version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/10/8
脆弱性公開日: 2014/8/6
参照情報
CVE: CVE-2014-3509, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139
BID: 69077, 69079, 69083, 69084
JSA: JSA10649