| タイトル | ジュニパーネットワークスのJunos OSにおける入力確認に関する脆弱性 |
|---|---|
| 概要 | Juniper Networks Junos OSのMX240、MX480、MX960デバイスに搭載されたMX-SPC3セキュリティサービスカードのsyslogストリームTCPトランスポートには、不適切な入力検証の脆弱性が存在します。この脆弱性によって、認証されていないネットワークベースの攻撃者が特定の詐称パケットを送信し、MX-SPC3のSPUに対してCPUサービス拒否(DoS)を引き起こすことが可能です。これら特定のパケットの継続的な受信および処理により、DoS状態が持続します。本問題は以下のJunos OSバージョンに影響を与えます。* 22.2R3-S6以前の全バージョン、* 22.4の22.4R3-S4以前、* 23.2の23.2R2-S3以前、* 23.4の23.4R2-S4以前、* 24.2の24.2R1-S2および24.2R2です。妥協の指標として、SPC3 SPUの利用率が急上昇します。例えば、コマンド「user@device show services service-sets summary」にて、サービスセットのCPU利用率が99.97%など非常に高い使用率(OVLD)が表示されることがあります。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2025年4月9日0:00 |
| 登録日 | 2026年1月28日12:37 |
| 最終更新日 | 2026年1月28日12:37 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| ジュニパーネットワークス |
| Junos OS 22.2 |
| Junos OS 22.2 未満 |
| Junos OS 22.4 |
| Junos OS 23.2 |
| Junos OS 23.4 |
| Junos OS 24.2 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月28日] 掲載 |
2026年1月28日12:37 |
| 概要 | An Improper Input Validation vulnerability in the syslog stream TCP transport of Juniper Networks Junos OS on MX240, MX480 and MX960 devices with MX-SPC3 Security Services Card allows an unauthenticated, network-based attacker, to send specific spoofed packets to cause a CPU Denial of Service (DoS) to the MX-SPC3 SPUs. Continued receipt and processing of these specific packets will sustain the DoS condition. This issue affects Junos OS: * All versions before 22.2R3-S6, An indicator of compromise will indicate the SPC3 SPUs utilization has spiked. For example: |
|---|---|
| 公表日 | 2025年4月10日5:15 |
| 登録日 | 2025年4月11日4:01 |
| 最終更新日 | 2025年4月10日5:15 |