NOX20150010-T 2015 年 2 月 25 日 ユーザー・パートナー 各位 ノックス株式会社 技術本部 JuniperNetworks 製品における NTP に関する 複数の脆弱性(CVE-2014-9293 他)について(2 月 25 日更新) 拝啓 貴社ますますご盛栄の事とお喜び申し上げます。平素は格別のご高配を賜り、厚く御礼申し上げます。 さて、Juniper Networks 社より、Juniper Networks 製品における NTP に関する脆弱性について報告がご ざいましたので、下記の通りご案内させて頂きます。 敬具 記 【アラート内容】 Juniper Networks 製品において、NTP に関する複数の脆弱性がある事が確認されました。これにより攻撃 者が ntpd の任意のコードを実行し DoS 攻撃を引き起こす事が可能となります。 尚、本脆弱性は CVE-2014-9293、9294、9295、9296 に該当します。 但 し 、 Junos に つ い て は 、 CVE-2014-9293 に は 該 当 致 し ま せ ん 。 CVE-2014-9294 に つ い て は ntp-keygen を使用している場合のみ該当致します。 【今後の対応について】 以下のワークアラウンドにて対応して頂けますようお願い致します。 【該当する機器】 SRX シリーズ EX シリーズ NSM アプライアンスシリーズ 尚、ScreenOS 及び IVE OS については該当致しません。 IDP については現在確認中です。 【危険度】 High 【該当するファームウェア】 Junos 10.X、11.X、12.X、13.X、14.X NSM 2010.X、2011.X、2012.X 【対応するファームウェア】 Junos 12.1X44-D50 以降 (近日公開予定) Junos 12.1X46-D35 以降 (近日公開予定) Junos 12.1X47-D20 以降 (近日公開予定) Junos 12.3R9 以降 (近日公開予定) NSM については未定 【ワークアラウンド】 Junos について もし攻撃を受けている可能性がある場合や、NTP プロセスによって CPU やメモリリソースが大量に占有され ている場合は、信頼できるアドレスやネットワーク、デバイスのループバックアドレスのみを NTP サービスへ のアクセスを許可する firewall filter を、ループバックインターフェースに適用してください。 (設定例) term allow-ntp { from { source-address { <trusted-addresses>; <loopback-address>; } protocol udp; port ntp; } then accept; } term block-ntp { from { protocol udp; port ntp; } then { discard; } } ※firewall filter には暗黙の Deny All が最後に定義されておりますので、デバイスに対するそれ以外のサ ービスを許可する場合は別途定義が必要となります。 NSM について WebUI の NTP の設定にて、”Automatically Sync Time”を無効にすることで対応可能です。 本件に関してご不明な点は、下記までお問い合わせ下さい。 ノックス株式会社 技術本部 TEL : 03-5731-5551 e-Mail : juniper@nox.co.jp 以上
© Copyright 2024 Paperzz