Juniper ha publicado un boletín de seguridad en el que se
describen múltiples vulnerabilidades que afectan a varios de sus productos,
catalogada de importancia: 5- Crítica
Recursos afectados:
- Cualquier producto o plataforma que ejecute Junos OS con IPv6 y/o BGP habilitados o no.
- NorthStar Controller Application anterior a la versión 2.1.0 Service Pack 1.
- Se han corregido múltiples vulnerabilidades que afectan a NorthStar Controller Application, una de ellas de severidad crítica: se puede ver el detalle de los fallos corregidos en la página de la base de conocimiento de Juniper.
- Así mismo, se han corregido las siguientes vulnerabilidades de severidad alta:
- Desbordamiento de búfer en controlador de teclado en Junos: un usuario local podría sobreescribir en una porción de kernel debido a que se realiza una comparación incorrecta en el manejador de ioctl. A esta vulnerabilidad se le ha asignado el identificador CVE-2016-1886.
- Ataque de denegación de servicio por fragmentos atómicos de mensajes ICMPv6 PTB: un fallo en la gestión de mensajes ICMP Packet Too Big (PTB) podría ocasionar una condicion de denegación de servicio. Se ha asignado el siguiente identificador a esta vulnerabilidad: CVE-2016-10142.
- Fallo y reinicio de rpd (routing process daemon) debido a mensajes UPDATE BGP especialmente diseñados: mensajes UPDATE BGP especialmente diseñados pueden ocasionar una condición de denegación de servicio si los fallos de rpd son provocados repetidamente. A esta vulnerabilidad se le ha asignado el identificador CVE-2017-2313.
- Actualizar la plataforma o producto afectado según lo descrito en los recursos que se enumeran en el apartado Referencias de este aviso.
- 2017-04 Security Bulletin: Junos: Integer signedness buffer overflow vulnerability in keyboard driver (CVE-2016-1886) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10784&cat=SIRT_1&actp=LIST&showDraft=false
- 2017-04 Security Bulletin: Junos: ICMPv6 PTB atomic fragment denial of service attack (CVE-2016-10142) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10780&cat=SIRT_1&actp=LIST&showDraft=false
- 2017-04 Security Bulletin: Junos: rpd crash due to crafted BGP UPDATE (CVE-2017-2313) https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10778&cat=SIRT_1&actp=LIST&showDraft=false