JUNIPER NETWORKS SSL VPN/UAC. Vulnerabilidad tipo XSS en alguno de sus productos

Se ha encontrado una vulnerabilidad de tipo XSS en productos Juniper Networks SSL VPN/UAC, provocada por una validación incorrecta de los datos introducidos por usuarios en el servidor web SSL VPN/UAC.. Dicha vulnerabilidad se ha catalogado de Importancia: 5 - Crítica

Recursos afectados

1. SA700
2. SA2500
3. FIPS SA4000
4. SA4500
5. FIPS SA4500
6. FIPS SA6000
7. SA6500
8. FIPS SA6500
9. MAG2600
10. MAG4610
11. MAG6610
12. MAG6611
13. IC4000
14. IC4500
15. IC6000
16. IC6500
17. FIPS IC6500

• Las versiones de software afectadas incluyen IVE OS: 8.0, 7.4, 7.1, y UAC 5.0, 4.4, y 4.1

Detalle e Impacto potencial de la vulnerabilidad

• La correcta explotación del fallo podría provocar que un atacante robase la sesión de un usuario, provocase la interrupción del servicio, o incluso la divulgación de información sensible.
• La vulnerabilidad ha recibido el identificador CVE-2014-3820 y una puntuación CVSS 9.3 de 10.0.

Recomendación

Actualizar a las siguientes versiones de software:

1. SA/MAG (IVE OS): 8.0r1, 7.4r3, 7.1r16 o superior.
2. UAC OS: 5.0r1, 4.4r3, 4.1r8 o superior.

Más información:

• 2014-09 Security Bulletin: Junos Pulse Secure Access Service (SSL VPN) and Junos Pulse Access Control Service (UAC): Cross site scripting issue (CVE-2014-3820)  http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10645

Fuente: INTECO