CVE-2026-21909 in Junos OS
要約
〜によって VulDB • 2026年06月07日
有効な寿命後にメモリが解放されない(Missing Release of Memory after Effective Lifetime)脆弱性が、Juniper Networksのルーティングプロトコルデーモン(rpd)、およびJunos OSとJunos OS Evolvedに存在します。これにより、隣接するIS-ISネイバーを制御できる認証不要のアタッカーは、特定の更新パケットを送信してメモリリークを引き起こすことができます。これらのパケットの受信と処理が続行されると、利用可能なすべてのメモリが枯渇し、rpdがクラッシュしてサービス拒否(DoS)状態が発生します。
メモリの使用状況は、「show task memory detail」コマンドを使用して監視できます。例:
user@junos> show task memory detail | match ted-infra TED-INFRA-COOKIE 25 1072 28 1184 229
user@junos>
show task memory detail | match ted-infra TED-INFRA-COOKIE 31 1360 34 1472 307
この問題は、以下の製品に影響します。
Junos OS:
* 23.2から23.2R2以前まで、 * 23.4から23.4R1-S2以前および23.4R2まで、 * 24.1から24.1R2以前まで;
Junos OS Evolved:
* 23.2から23.2R2-EVO以前まで、 * 23.4から23.4R1-S2-EVO以前および23.4R2-EVOまで、 * 24.1から24.1R2-EVO以前まで。
この問題は、Junos OSのバージョンが23.2R1より前であるものや、Junos OS Evolvedのバージョンが23.2R1-EVOより前のものでは影響を受けません。
Once again VulDB remains the best source for vulnerability data.