Last Updated on 2024-01-31 02:42 by 荒木 啓介
Juniper Networksは、以前隠蔽していたとされる複数の脆弱性を公開し、顧客に対してコミュニケーションの誤りについて謝罪しました。この発表は、セキュリティベンダーが製品の脆弱性に対するCVE(Common Vulnerabilities and Exposures)の割り当てに関してルールを曲げていると非難された報道がなされた直後に行われました。watchTowrの研究者Aliz Hammondによって報告された4つの脆弱性は、それぞれ個別のCVEが欠けているとされていましたが、現在はそれぞれ別々に公開されています。Juniperは、提出された4つの脆弱性報告のうち2つについてwatchTowrの発見として認めています。残りの2つのCVEは元のアップデートバッチで修正されていたものの、それぞれに独自のCVEが割り当てられています。
公開された脆弱性には、認証が不足している3つの問題(それぞれ重大度5.3)と、管理者権限でコード実行につながる可能性のあるクロスサイトスクリプティング(XSS)の脆弱性(重大度8.8)が含まれています。これらの問題はJunos OS SRXシリーズとEXシリーズのJ-Webコンポーネントに影響を与え、以下のCVEとして追跡されています:
– CVE-2024-21619
– CVE-2023-36846
– CVE-2024-21620
– CVE-2023-36851
Juniperは、これらの問題がJunos OSの全バージョンに影響を与えるとし、各脆弱性に対して特定の修正が適用されたことを通じて解決されたと述べています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、XSSの脆弱性に関する警告を発し、必要なアップデートの適用を推奨しています。
Juniperは顧客にメールで謝罪し、研究者から報告された脆弱性の評価を変更したことを説明しました。Hammondは2023年に4つの脆弱性を開示するためにベンダーに接近し、Juniperは公開前に顧客が修正を適用できるようにするため、通常の90日間の報告ウィンドウを延期することを要求しました。しかし、Juniperの最新のパッチが1月11日にリリースされた際、Hammondの脆弱性は個別のCVEに割り当てられていませんでした。Juniperは、非技術的な理由から通常、開示プロセスの終わりに向けてCVEを申請すると説明し、このプロセスを見直したと述べています。
【ニュース解説】
Juniper Networksが、以前に報告されながら公開されていなかった複数の脆弱性について公式に認め、これらの問題に関する情報を公開しました。この一連の出来事は、セキュリティ業界における脆弱性の報告とCVE(Common Vulnerabilities and Exposures)の割り当てプロセスに関する議論を再燃させました。特に、JuniperはwatchTowrの研究者Aliz Hammondによって報告された4つの脆弱性のうち、2つについてのみ発見者として認め、残りの2つは以前に修正されていたものの、それぞれに独自のCVE番号が割り当てられていなかったという事実が明らかになりました。
この問題の核心には、脆弱性の公開とCVEの割り当てに関するプロセスの透明性と一貫性の欠如があります。脆弱性が適切に報告され、公開されることは、セキュリティ研究者と製品ユーザーの間で信頼を築く上で不可欠です。また、CVE番号の割り当ては、特定の脆弱性を一意に識別し、追跡するための重要な手段です。このプロセスが不透明であると、脆弱性の修正が遅れる可能性があり、結果として攻撃者に悪用されるリスクが高まります。
Juniperのこの一連の対応は、セキュリティコミュニティ内での脆弱性報告のプラクティスに関する重要な議論を促します。特に、脆弱性の報告と修正のプロセスをより透明にし、迅速に行うことの重要性が強調されます。また、この事例は、セキュリティベンダーが自社製品の脆弱性を公開する際の課題と責任についても浮き彫りにしています。
ポジティブな側面として、この事態はJuniperにプロセスの見直しを促し、将来的にはより迅速かつ透明な脆弱性の報告と修正が行われるきっかけとなる可能性があります。一方で、このような問題が発生したこと自体が、セキュリティベンダーとしての信頼性に疑問を投げかけるものであり、顧客やセキュリティ研究者との関係に悪影響を及ぼす可能性があります。
長期的な視点では、この事件はセキュリティ業界全体における脆弱性報告とCVE割り当てプロセスの改善を促す契機となるかもしれません。透明性と迅速性を確保することで、セキュリティ研究者とベンダー間の協力を促進し、最終的にはユーザーのセキュリティを向上させることができるでしょう。
from Reg story prompts fresh security bulletin, review of Juniper Networks' CVE process.
