製品・ソフトウェアに関する情報

JVN脆弱性詳細

ジュニパーネットワークスのJunos OS Evolvedにおける誤った領域へのリソースの漏えいに関する脆弱性

Title	ジュニパーネットワークスのJunos OS Evolvedにおける誤った領域へのリソースの漏えいに関する脆弱性
Summary	Juniper Networks Junos OS Evolved のサンプリングサービスにおけるリソースが誤った領域に露出する脆弱性により、認証されていないネットワークベースの攻撃者が任意のデータをデバイスに送信できる可能性があります。その結果、msvcsd プロセスがクラッシュし、限定的な可用性となってサービス拒否（DoS）につながり、さらにデバイスへの不正なネットワークアクセスを許可してシステムの完全性に影響を与えるおそれがあります。この問題は、インライン jflow が設定されている場合にのみ発生します。本脆弱性は転送トラフィックには影響しません。影響を受けるサービスである MSVCS-DB アプリは一時的にクラッシュしますが、自己回復します。影響を受ける Juniper Networks Junos OS Evolved のバージョンは次のとおりです。・21.4R3-S7-EVO より前の 21.4 バージョン・22.2R3-S3-EVO より前の 22.2 バージョン・22.3R3-S2-EVO より前の 22.3 バージョン・22.4R3-EVO より前の 22.4 バージョン・23.2R1-S2-EVO および 23.2R2-EVO より前の 23.2 バージョンです。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	July 11, 2024, midnight
Registration Date	Jan. 26, 2026, 7:40 p.m.
Last Update	Jan. 26, 2026, 7:40 p.m.

CVSS3.0 : 警告
Score	6.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Affected System

ジュニパーネットワークス

Junos OS Evolved 21.4

Junos OS Evolved 22.2

Junos OS Evolved 22.3

Junos OS Evolved 22.4

Junos OS Evolved 23.2

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-39553	https://www.cve.org/CVERecord?id=CVE-2024-39553
National Vulnerability Database (NVD)
2	CVE-2024-39553	https://nvd.nist.gov/vuln/detail/CVE-2024-39553

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-668	https://cwe.mitre.org/data/definitions/668.html

ベンダー情報

No	Name	URL
Juniper Support Portal
1	2024-07 Security Bulletin: Junos OS Evolved: Receipt of arbitrary data when sampling service is enabled, leads to partial Denial of Service (DoS) (CVE-2024-39553)	https://supportportal.juniper.net/JSA79101

Change Log

No	Changed Details	Date of change
1	[2026年01月26日] 掲載	Jan. 26, 2026, 7:40 p.m.

NVD Vulnerability Information

CVE-2024-39553

Summary	An Exposure of Resource to Wrong Sphere vulnerability in the sampling service of Juniper Networks Junos OS Evolved allows an unauthenticated network-based attacker to send arbitrary data to the device, which leads msvcsd process to crash with limited availability impacting Denial of Service (DoS) and allows unauthorized network access to the device, potentially impacting system integrity. This issue only happens when inline jflow is configured. This does not impact any forwarding traffic. The impacted services MSVCS-DB app crashes momentarily and recovers by itself. This issue affects Juniper Networks Junos OS Evolved: * 21.4 versions earlier than 21.4R3-S7-EVO; * 22.2 versions earlier than 22.2R3-S3-EVO; * 22.3 versions earlier than 22.3R3-S2-EVO; * 22.4 versions earlier than 22.4R3-EVO; * 23.2 versions earlier than 23.2R1-S2-EVO, 23.2R2-EVO.
Publication Date	July 12, 2024, 2:15 a.m.
Registration Date	July 12, 2024, 10 a.m.
Last Update	Nov. 21, 2024, 6:27 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://supportportal.juniper.net/JSA79101
2	https://supportportal.juniper.net/JSA79101

Common Vulnerabilities List