脆弱性(OSS以外のものも含む)に関するトピックを集めています。最新の情報でディストリビューション側で対応できていないものも、こちらには載せています。適宜更新していきます。
脆弱性情報に関してはこちら(外部サイト)もご参照下さい
2024/07/03
CiscoがNX-OSの脆弱性(CVE-2024-20399)を公開。4月に攻撃で使用されていた模様
- Ciscoのサポートサイトはこちら
- CVE-2024-20399
- CVSS
- Base Score: 6.0 Medium
- Vector: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N/E:X/RL:X/RC:X
- NX-OSソフトウェアには、CLIでのコマンドを引き渡す際の入力値検証に問題があったため、ローカルでアカウントを持っている攻撃者がコマンドインジェクションを実行できる可能性があります。
- CVSS
2024/07/02
regreSSHion OpenSSHリモートコード実行の脆弱性(CVE-2024-6387)
- SIOSのOSS脆弱性ブログに載せています。
- QualysによりOpenSSHのリモートコード実行の脆弱性が公開されています。OpenSSH自身も9.8に更新されています。
2024/07/01
Juniperが認証バイパスの危険な脆弱性情報(CVE-2024-2973)を公開
- Juniperのサイトより
- Juniperが冗長構成を使用している際に認証バイパスが出来る脆弱性(CVE-2024-2973)を公開しました。
- CVE-2024-2973
- 一時情報源はこちら
- CVSS
- Base Score: 10.0 Critical
- Vector: CVSS 3.1 : 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
- Vector: CVSS 4.0 : 10.0 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA :H/AU:Y/V:C/RE:M/U:Red)
- 代替パス/チャネルに認証バイパスの脆弱性が見つかりました。これにより、冗長構成で動作している場合、ネットワーク上の攻撃者が認証をバイパスし、デバイスを完全に制御できる可能性があります。高可用性冗長構成のみがこの脆弱性の影響を受けます。
- 影響を受ける製品
- Session Smart Router:
- 5.6.15以前の全てのバージョン
- 6.0〜6.1.9-lts
- 6.2〜6.2.5-sts
- Session Smart Conductor:
- 5.6.15以前の全てのバージョン
- 6.0〜6.1.9-lts
- 6.2〜6.2.5-sts
- WAN Assurance Router:
- 6.0〜6.1.9-lts
- 6.2〜6.2.5-sts
- Session Smart Router: