Se
ha encontrado una vulnerabilidad de tipo XSS en productos Juniper Networks SSL
VPN/UAC, provocada por una validación incorrecta de los datos introducidos por
usuarios en el servidor web SSL VPN/UAC.. Dicha vulnerabilidad se ha catalogado
de Importancia: 5 - Crítica
Recursos afectados
- SA700
- SA2500
- FIPS SA4000
- SA4500
- FIPS SA4500
- FIPS SA6000
- SA6500
- FIPS SA6500
- MAG2600
- MAG4610
- MAG6610
- MAG6611
- IC4000
- IC4500
- IC6000
- IC6500
- FIPS IC6500
- Las versiones de software afectadas incluyen IVE OS: 8.0, 7.4, 7.1, y UAC 5.0, 4.4, y 4.1
Detalle e Impacto potencial de la
vulnerabilidad
- La correcta explotación del fallo podría provocar que un atacante robase la sesión de un usuario, provocase la interrupción del servicio, o incluso la divulgación de información sensible.
- La vulnerabilidad ha recibido el identificador CVE-2014-3820 y una puntuación CVSS 9.3 de 10.0.
Actualizar
a las siguientes versiones de software:
- SA/MAG (IVE OS): 8.0r1, 7.4r3, 7.1r16 o superior.
- UAC OS: 5.0r1, 4.4r3, 4.1r8 o superior.
- 2014-09 Security Bulletin: Junos Pulse Secure Access Service (SSL VPN) and Junos Pulse Access Control Service (UAC): Cross site scripting issue (CVE-2014-3820) http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10645