製品・ソフトウェアに関する情報

JVN脆弱性詳細

Juniper ScreenOS における管理アクセス権を取得される脆弱性

タイトル	Juniper ScreenOS における管理アクセス権を取得される脆弱性
概要	Juniper ScreenOS には、管理アクセス権を取得される脆弱性が存在します。
想定される影響	第三者により、(1) SSH または (2) TELNET セッション中に不特定のパスワードを入力されることで、管理アクセス権を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年12月17日0:00
登録日	2015年12月22日14:38
最終更新日	2015年12月22日14:38

CVSS2.0 : 危険
スコア	10
ベクター	AV:N/AC:L/Au:N/C:C/I:C/A:C

影響を受けるシステム

ジュニパーネットワークス

ScreenOS 6.3.0r17 から 6.3.0r20

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-7755	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7755
National Vulnerability Database (NVD)
2	CVE-2015-7755	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7755

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	名前	URL
Juniper Networks
1	IMPORTANT JUNIPER SECURITY ANNOUNCEMENT	https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
Security Bulletin
2	JSA10713	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search

その他

No	名前	URL
JVN
1	JVNVU#94797797	http://jvn.jp/vu/JVNVU94797797/index.html
US-CERT Vulnerability Note
2	VU#640184	https://www.kb.cert.org/vuls/id/640184

変更履歴

No	変更内容	変更日
0	[2015年12月22日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-7755

概要	Juniper ScreenOS 6.2.0r15 through 6.2.0r18, 6.3.0r12 before 6.3.0r12b, 6.3.0r13 before 6.3.0r13b, 6.3.0r14 before 6.3.0r14b, 6.3.0r15 before 6.3.0r15b, 6.3.0r16 before 6.3.0r16b, 6.3.0r17 before 6.3.0r17b, 6.3.0r18 before 6.3.0r18b, 6.3.0r19 before 6.3.0r19b, and 6.3.0r20 before 6.3.0r21 allows remote attackers to obtain administrative access by entering an unspecified password during a (1) SSH or (2) TELNET session.
公表日	2015年12月19日23:59
登録日	2021年1月26日14:57
最終更新日	2024年11月21日11:37

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:juniper:screenos:6.3.0:r17::::::
cpe:2.3:o:juniper:screenos:6.3.0:r18::::::
cpe:2.3:o:juniper:screenos:6.3.0:r20::::::
cpe:2.3:o:juniper:screenos:6.3.0:r19::::::

関連情報、対策とツール

No	URL	タグ
1	http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/
2	http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/
3	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713	Exploit Vendor Advisory
4	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713	Exploit Vendor Advisory
5	http://twitter.com/cryptoron/statuses/677900647560253442
6	http://twitter.com/cryptoron/statuses/677900647560253442
7	http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/
8	http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/
9	http://www.kb.cert.org/vuls/id/640184
10	http://www.kb.cert.org/vuls/id/640184
11	http://www.securityfocus.com/bid/79626
12	http://www.securityfocus.com/bid/79626
13	http://www.securitytracker.com/id/1034489
14	http://www.securitytracker.com/id/1034489
15	http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/
16	http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/
17	https://adamcaudill.com/2015/12/17/much-ado-about-juniper/
18	https://adamcaudill.com/2015/12/17/much-ado-about-juniper/
19	https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
20	https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
21	https://github.com/hdm/juniper-cve-2015-7755
22	https://github.com/hdm/juniper-cve-2015-7755

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html