製品・ソフトウェアに関する情報

JVN脆弱性詳細

Juniper ScreenOS における管理アクセス権を取得される脆弱性

タイトル	Juniper ScreenOS における管理アクセス権を取得される脆弱性
概要	Juniper ScreenOS には、管理アクセス権を取得される脆弱性が存在します。
想定される影響	第三者により、(1) SSH または (2) TELNET セッション中に不特定のパスワードを入力されることで、管理アクセス権を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2015年12月17日0:00
登録日	2015年12月22日14:38
最終更新日	2015年12月22日14:38

CVSS2.0 : 危険
スコア	10
ベクター	AV:N/AC:L/Au:N/C:C/I:C/A:C

影響を受けるシステム

ジュニパーネットワークス

ScreenOS 6.3.0r17 から 6.3.0r20

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-7755	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7755
National Vulnerability Database (NVD)
2	CVE-2015-7755	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7755

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	名前	URL
Juniper Networks
1	IMPORTANT JUNIPER SECURITY ANNOUNCEMENT	https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
Security Bulletin
2	JSA10713	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search

その他

No	名前	URL
JVN
1	JVNVU#94797797	http://jvn.jp/vu/JVNVU94797797/index.html
US-CERT Vulnerability Note
2	VU#640184	https://www.kb.cert.org/vuls/id/640184

変更履歴

No	変更内容	変更日
0	[2015年12月22日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2015-7755

概要	Juniper ScreenOS 6.2.0r15 through 6.2.0r18, 6.3.0r12 before 6.3.0r12b, 6.3.0r13 before 6.3.0r13b, 6.3.0r14 before 6.3.0r14b, 6.3.0r15 before 6.3.0r15b, 6.3.0r16 before 6.3.0r16b, 6.3.0r17 before 6.3.0r17b, 6.3.0r18 before 6.3.0r18b, 6.3.0r19 before 6.3.0r19b, and 6.3.0r20 before 6.3.0r21 allows remote attackers to obtain administrative access by entering an unspecified password during a (1) SSH or (2) TELNET session.
概要	Juniper ScreenOS 6.2.0r15 hasta la versión 6.2.0r18, 6.3.0r12 en versiones anteriores a 6.3.0r12b, 6.3.0r13 en versiones anteriores a 6.3.0r13b, 6.3.0r14 en versiones anteriores a 6.3.0r14b, 6.3.0r15 en versiones anteriores a 6.3.0r15b, 6.3.0r16 en versiones anteriores a 6.3.0r16b, 6.3.0r17 en versiones anteriores a 6.3.0r17b, 6.3.0r18 en versiones anteriores a 6.3.0r18b, 6.3.0r19 en versiones anteriores a 6.3.0r19b y 6.3.0r20 en versiones anteriores a 6.3.0r21 permite a atacantes remotos obtener acceso administrativo entrando una contraseña no especificada durante una sesión (1) SSH o (2) TELNET.
公表日	2015年12月19日23:59
登録日	2021年1月26日14:57
最終更新日	2026年4月22日1:27

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:o:juniper:screenos:6.3.0:r17::::::
cpe:2.3:o:juniper:screenos:6.3.0:r18::::::
cpe:2.3:o:juniper:screenos:6.3.0:r19::::::
cpe:2.3:o:juniper:screenos:6.3.0:r20::::::

関連情報、対策とツール

No	URL	refsource
1	http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/	cve@mitre.org
2	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713	cve@mitre.org
3	http://twitter.com/cryptoron/statuses/677900647560253442	cve@mitre.org
4	http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/	cve@mitre.org
5	http://www.kb.cert.org/vuls/id/640184	cve@mitre.org
6	http://www.securityfocus.com/bid/79626	cve@mitre.org
7	http://www.securitytracker.com/id/1034489	cve@mitre.org
8	http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/	cve@mitre.org
9	https://adamcaudill.com/2015/12/17/much-ado-about-juniper/	cve@mitre.org
10	https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554	cve@mitre.org
11	https://github.com/hdm/juniper-cve-2015-7755	cve@mitre.org
12	http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/	af854a3a-2127-422b-91ae-364da2661108
13	http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713	af854a3a-2127-422b-91ae-364da2661108
14	http://twitter.com/cryptoron/statuses/677900647560253442	af854a3a-2127-422b-91ae-364da2661108
15	http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/	af854a3a-2127-422b-91ae-364da2661108
16	http://www.kb.cert.org/vuls/id/640184	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securityfocus.com/bid/79626	af854a3a-2127-422b-91ae-364da2661108
18	http://www.securitytracker.com/id/1034489	af854a3a-2127-422b-91ae-364da2661108
19	http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/	af854a3a-2127-422b-91ae-364da2661108
20	https://adamcaudill.com/2015/12/17/much-ado-about-juniper/	af854a3a-2127-422b-91ae-364da2661108
21	https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554	af854a3a-2127-422b-91ae-364da2661108
22	https://github.com/hdm/juniper-cve-2015-7755	af854a3a-2127-422b-91ae-364da2661108
23	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2015-7755	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html