製品・ソフトウェアに関する情報

JVN脆弱性詳細

128 Technology Session Smart Router における認証不備の脆弱性

Title	128 Technology Session Smart Router における認証不備の脆弱性
Summary	128 Technology が提供する 128 Technology Session Smart Router には、認証不備 (CWE-287) の脆弱性が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 株式会社イエラエセキュリティ片岡玄太氏
Possible impacts	遠隔の第三者によって、認証を回避され root 権限で任意の OS コマンドを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。開発者によると、128T SSR 4.4 系はサポートが終了しているため、4 系の利用を継続する場合は、4.5.11 へアップグレードする必要があるとのことです。また、128T SSR 5.0.0 または 5.0.1 を使用している場合、5.1.6 以上にアップグレードが必要とのことです。アップグレードの詳細は、<a href="https://docs.128technology.com/docs/intro_upgrading/">Upgrading the 128T Networking Platform</a> をご確認ください。
Publication Date	Oct. 18, 2021, midnight
Registration Date	Oct. 18, 2021, 12:03 p.m.
Last Update	Oct. 18, 2021, 12:03 p.m.

Affected System

128 Technology

128 Technology Session Smart Router 4.4 から 5.0.1 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-31349	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31349

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
128 Technology
1	2021-10 Security Bulletin: Session Smart Router: Authentication Bypass Vulnerability (CVE-2021-31349)	https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11256&cat=SIRT_1&actp=LIST
2	Upgrading the 128T Networking Platform	https://docs.128technology.com/docs/intro_upgrading/

その他

No	Name	URL
JVN
1	JVN#85073657	https://jvn.jp/jp/JVN85073657/index.html

Change Log

No	Changed Details	Date of change
1	[2021年10月18日] 掲載	Oct. 12, 2021, 7:41 p.m.

NVD Vulnerability Information

CVE-2021-31349

Summary	The usage of an internal HTTP header created an authentication bypass vulnerability (CWE-287), allowing an attacker to view internal files, change settings, manipulate services and execute arbitrary code. This issue affects all Juniper Networks 128 Technology Session Smart Router versions prior to 4.5.11, and all versions of 5.0 up to and including 5.0.1.
Publication Date	Oct. 20, 2021, 4:15 a.m.
Registration Date	Oct. 20, 2021, 10 a.m.
Last Update	Nov. 21, 2024, 3:05 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:juniper:128_technology_session_smart_router_firmware::::::::					4.5.11
cpe:2.3:o:juniper:128_technology_session_smart_router_firmware::::::::		5.0.0	5.0.1
execution environment
1	cpe:2.3:h:juniper:128_technology_session_smart_router:-:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	https://kb.juniper.net/JSA11256		Vendor Advisory
2	https://kb.juniper.net/JSA11256		Vendor Advisory

Common Vulnerabilities List