Se han detectado
múltiples vulnerabilidades en Juniper OS, Juniper OS en SRX, Juniper OS con
VPLS (configurado y en ejecución) y NSM Appilance. Habiendo 2 vulnerabilidades
de severidad crítica y 13 de severidad alta.
Recursos afectados:
Junos OS versiones:
- 13.2.
- 14.1X53.
- 15.1.
- 15.1X49.
- 15.1X53.
- 16.1.
- 16.2.
- 17.1.
- 17.2.
- 17.2X75.
Junos OS en SRX
Series versiones:
·
12.1X46.
·
12.3X48.
·
15.1X49.Steel-Belted
Radius Carrier:
·
8.4.1
versiones anteriores a 8.4.1-R5.
·
8.3.0
versiones anteriores a 8.3.0-R11.
·
8.2.0
versiones anteriores a 8.2.0-R18.
NSM Appilance:
·
Network
and Security Manager Appliance 2012.2
Junos OS con el VPLS
configurado y en ejecución:
- 12.1X46.
- 12.3X48.
- 14.1.
- 14.1X53.
- 14.2.
- 15.1.
- 15.1X49.
- 15.1X53.
- 16.1.
- 16.2.
- 17.1.
- 17.2.
Detalle de vulnerabilidades:
Estas
vulnerabilidades podrían causar que un atacante remoto realizara:
·
Ejecución
arbitraria de código.
·
Reinicios
del sistema.
·
Revelación
de contraseñas.
·
Elevación
de privilegios.
·
Generación
de una condición de denegación de servicios.
·
Filtrado
de información.
Las vulnerabilidades de severidad crítica son:
- En Junos OS un
atacante remoto podría generar un datagrama para el Connectionless Network
Protocol (CLNP) específicamente
creado y con destino a una interfaz específica de Junos OS del
dispositivo, que podría generar un cierre inesperado del kernel que podría
permitir la ejecución remota de código. Se ha reservado el identificador
CVE-2018-0016 para esta vulnerabilidad.
- En Junos OS un
atacante remoto sin autenticación podría realizar una ejecución de código
debido a un defecto de uso de memoria previamente liberada en versiones
antiguas de PHP mediante la inyección de datos manipulados a través de URL
PHP específicas en el contexto del proceso J-Web. Se ha reservado el
identificador CVE-2018-0001 para esta vulnerabilidad.
Recomendación
Juniper ha puesto a
disposición de los usuarios múltiples parches para solucionar las
vulnerabilidades en función del producto afectado. Estos parches pueden
descargarse en la página de soporte de Juniper. https://www.juniper.net/support/downloads/
Para poder acceder al
área de soporte es necesario disponer de una cuenta de usuario en Juniper.
Más información:
Fuente: INCIBE