Juniper ha publicado un boletín de seguridad fuera de ciclo en el que informa de varias vulnerabilidades, catlogadas de Importancia: 5 - Crítica
Recursos
afectados
- Cualquier producto o plataforma con ScreenOS 6.2.0r15 hasta 6.2.0r18 y 6.3.0r12 hasta 6.3.0r20.
Se han
corregido los siguientes fallos:
- Acceso remoto no autorizado al dispositivo a través de SSH o telnet.
- Divulgación de información: un atacante que monitorice el trafico VPN puede descifrar dicho tráfico. Para ambos fallos se ha reservado el identificador CVE-2015-7755.
- Ejecución remota de código / Denegación de servicio: una negociación SSH manipulada puede derivar en alguno de esos fallos, en el caso de que ssh-pka esté configurado y habilitado en el firewall. Se ha reservado el identificador CVE-2015-7754.
- Juniper ha publicado una serie de actualizaciones que corrigen las vulnerabilidades identificadas.
- 2015-12 Out of Cycle Security Bulletin: ScreenOS: Crafted SSH negotiation may trigger system crash (?CVE-2015-7754) http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10712&actp=search
- 2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755) http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search