NOX20150010-T 2015 年 2 月 25 日ユーザー・パートナー各位ノックス株式会社技術本部 JuniperNetworks 製品における NTP に関する複数の脆弱性(CVE-2014-9293 他)について(2 月 25 日更新) 拝啓貴社ますますご盛栄の事とお喜び申し上げます。平素は格別のご高配を賜り、厚く御礼申し上げます。さて、Juniper Networks 社より、Juniper Networks 製品における NTP に関する脆弱性について報告がございましたので、下記の通りご案内させて頂きます。敬具記【アラート内容】 Juniper Networks 製品において、NTP に関する複数の脆弱性がある事が確認されました。これにより攻撃者が ntpd の任意のコードを実行し DoS 攻撃を引き起こす事が可能となります。尚、本脆弱性は CVE-2014-9293、9294、9295、9296 に該当します。但し、 Junos については、 CVE-2014-9293 には該当致しません。 CVE-2014-9294 については ntp-keygen を使用している場合のみ該当致します。【今後の対応について】以下のワークアラウンドにて対応して頂けますようお願い致します。【該当する機器】 SRX シリーズ EX シリーズ NSM アプライアンスシリーズ尚、ScreenOS 及び IVE OS については該当致しません。 IDP については現在確認中です。【危険度】 High 【該当するファームウェア】 Junos 10.X、11.X、12.X、13.X、14.X NSM 2010.X、2011.X、2012.X 【対応するファームウェア】 Junos 12.1X44-D50 以降 (近日公開予定) Junos 12.1X46-D35 以降 (近日公開予定) Junos 12.1X47-D20 以降 (近日公開予定) Junos 12.3R9 以降 (近日公開予定) NSM については未定【ワークアラウンド】 Junos についてもし攻撃を受けている可能性がある場合や、NTP プロセスによって CPU やメモリリソースが大量に占有されている場合は、信頼できるアドレスやネットワーク、デバイスのループバックアドレスのみを NTP サービスへのアクセスを許可する firewall filter を、ループバックインターフェースに適用してください。 (設定例) term allow-ntp { from { source-address { <trusted-addresses>; <loopback-address>; } protocol udp; port ntp; } then accept; } term block-ntp { from { protocol udp; port ntp; } then { discard; } } ※firewall filter には暗黙の Deny All が最後に定義されておりますので、デバイスに対するそれ以外のサービスを許可する場合は別途定義が必要となります。 NSM について WebUI の NTP の設定にて、”Automatically Sync Time”を無効にすることで対応可能です。本件に関してご不明な点は、下記までお問い合わせ下さい。ノックス株式会社技術本部 TEL ： 03-5731-5551 e-Mail ： [email protected] 以上