(CVE-2014-9293 他)について - NOX User Support

NOX20150010-T
2015 年 2 月 25 日
ユーザー・パートナー 各位
ノックス株式会社
技術本部
JuniperNetworks 製品における NTP に関する
複数の脆弱性(CVE-2014-9293 他)について(2 月 25 日更新)
拝啓
貴社ますますご盛栄の事とお喜び申し上げます。平素は格別のご高配を賜り、厚く御礼申し上げます。
さて、Juniper Networks 社より、Juniper Networks 製品における NTP に関する脆弱性について報告がご
ざいましたので、下記の通りご案内させて頂きます。
敬具
記
【アラート内容】
Juniper Networks 製品において、NTP に関する複数の脆弱性がある事が確認されました。これにより攻撃
者が ntpd の任意のコードを実行し DoS 攻撃を引き起こす事が可能となります。
尚、本脆弱性は CVE-2014-9293、9294、9295、9296 に該当します。
但 し 、 Junos に つ い て は 、 CVE-2014-9293 に は 該 当 致 し ま せ ん 。 CVE-2014-9294 に つ い て は
ntp-keygen を使用している場合のみ該当致します。
【今後の対応について】
以下のワークアラウンドにて対応して頂けますようお願い致します。
【該当する機器】
SRX シリーズ
EX シリーズ
NSM アプライアンスシリーズ
尚、ScreenOS 及び IVE OS については該当致しません。
IDP については現在確認中です。
【危険度】
High
【該当するファームウェア】
Junos 10.X、11.X、12.X、13.X、14.X
NSM 2010.X、2011.X、2012.X
【対応するファームウェア】
Junos 12.1X44-D50 以降 (近日公開予定)
Junos 12.1X46-D35 以降 (近日公開予定)
Junos 12.1X47-D20 以降 (近日公開予定)
Junos 12.3R9 以降 (近日公開予定)
NSM については未定
【ワークアラウンド】
Junos について
もし攻撃を受けている可能性がある場合や、NTP プロセスによって CPU やメモリリソースが大量に占有され
ている場合は、信頼できるアドレスやネットワーク、デバイスのループバックアドレスのみを NTP サービスへ
のアクセスを許可する firewall filter を、ループバックインターフェースに適用してください。
(設定例)
term allow-ntp {
from {
source-address {
<trusted-addresses>;
<loopback-address>;
}
protocol udp;
port ntp;
}
then accept;
}
term block-ntp {
from {
protocol udp;
port ntp;
}
then {
discard;
}
}
※firewall filter には暗黙の Deny All が最後に定義されておりますので、デバイスに対するそれ以外のサ
ービスを許可する場合は別途定義が必要となります。
NSM について
WebUI の NTP の設定にて、”Automatically Sync Time”を無効にすることで対応可能です。
本件に関してご不明な点は、下記までお問い合わせ下さい。
ノックス株式会社 技術本部
TEL
: 03-5731-5551
e-Mail
: juniper@nox.co.jp
以上