Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos Juniper

Fecha de publicación: 09/01/2020

Importancia: Alta

Recursos afectados:

  • Junos OS:
    • 15.1 versiones anteriores a 15.1R7-S6;
    • 15.1X49 versiones anteriores a 15.1X49-D200;
    • 15.1X53 versiones anteriores a 15.1X53-D592;
    • 16.1 versiones anteriores a 16.1R7-S6;
    • 16.2 versiones anteriores a 16.2R2-S11;
    • 17.1 versiones anteriores a 17.1R2-S11, 17.1R3-S1;
    • 17.2 versiones anteriores a 17.2R2-S8, 17.2R3-S3;
    • 17.3 versiones anteriores a 17.3R3-S6;
    • 17.4 versiones anteriores a 17.4R2-S7, 17.4R3;
    • 18.1 versiones anteriores a 18.1R3-S8;
    • 18.2 versiones anteriores a 18.2R3-S2;
    • 18.2X75 versiones anteriores a 18.2X75-D60;
    • 18.3 versiones anteriores a 18.3R1-S6, 18.3R2-S2, 18.3R3;
    • 18.4 versiones anteriores a 18.4R1-S5, 18.4R2-S3, 18.4R3;
    • 19.1 versiones anteriores a 19.1R1-S3, 19.1R2;
    • 19.2 versiones anteriores a 19.2R1-S3, 19.2R2.
  • Junos OS Evolved, versiones anteriores a 19.3R1;
  • Juniper Networks Junos OS:
    • 16.1 versiones anteriores a 16.1R7-S6;
    • 16.1 versión 16.1X70-D10 y posteriores;
    • 16.2 versiones anteriores a 16.2R2-S11;
    • 17.1 versiones anteriores a 17.1R2-S11, 17.1R3-S1;
    • 17.2 versiones anteriores a 17.2R1-S9, 17.2R2-S8, 17.2R3-S3;
    • 17.3 versiones anteriores a 17.3R3-S6;
    • 17.4 versiones anteriores a 17.4R2-S9, 17.4R3;
    • 18.1 versiones anteriores a 18.1R3-S7;
    • 18.2 versiones anteriores a 18.2R3-S2;
    • 18.2X75 versiones anteriores a 18.2X75-D50, 18.2X75-D410;
    • 18.3 versiones anteriores a 18.3R1-S6, 18.3R2-S2, 18.3R3;
    • 18.4 versiones anteriores a 18.4R2-S2, 18.4R3;
    • 19.1 versiones anteriores a 19.1R1-S3, 19.1R2;
    • 19.2 versiones anteriores a 19.2R1-S2, 19.2R2.
    • 12.3 versiones anteriores a 12.3R12-S15;
    • 12.3X48 versiones anteriores a 12.3X48-D86, 12.3X48-D90 en SRX Series;
    • 14.1X53 versiones anteriores a 14.1X53-D51 en EX y QFX Series;
    • 15.1F6 versiones anteriores a 15.1F6-S13;
    • 15.1 versiones anteriores a 15.1R7-S5;
    • 15.1X49 versiones anteriores a 15.1X49-D181, 15.1X49-D190 en SRX Series;
    • 15.1X53 versiones anteriores a 15.1X53-D238 en QFX5200/QFX5110 Series;
    • 15.1X53 versiones anteriores a 15.1X53-D592 en EX2300/EX3400 Series;
    • 16.1 versiones anteriores a 16.1R4-S13, 16.1R7-S5;
    • 16.2 versiones anteriores a 16.2R2-S10;
    • 17.1 versiones anteriores a 17.1R2-S11, 17.1R3-S1;
    • 17.2 versiones anteriores a 17.2R1-S9, 17.2R3-S2;
    • 17.3 versiones anteriores a 17.3R2-S5, 17.3R3-S5;
    • 17.4 versiones anteriores a 17.4R2-S6, 17.4R3;
    • 18.1 versiones anteriores a 18.1R3-S7;
    • 18.2 versiones anteriores a 18.2R2-S5, 18.2R3;
    • 18.3 versiones anteriores a 18.3R1-S6, 18.3R2-S1, 18.3R3;
    • 18.4 versiones anteriores a 18.4R1-S5, 18.4R2;
    • 19.1 versiones anteriores a 19.1R1-S2, 19.1R2.
  • MX Series con Juniper Networks Junos OS:
    • 17.2 versiones 17.2R2-S6, 17.2R3 y posteriores;
    • 17.3 versiones anteriores a 17.3R2-S5, 17.3R3-S5;
    • 17.4 versiones anteriores a 17.4R2-S7,17.4R3;
    • 18.1 versiones anteriores a 18.1R3-S6;
    • 18.2 versiones anteriores a 18.2R3-S2;
    • 18.2X75 versiones anteriores a 18.2X75-D51, 18.2X75-D60;
    • 18.3 versiones anteriores a 18.3R3;
    • 18.4 versiones anteriores a 18.4R2;
    • 19.1 versiones anteriores a 19.1R1-S3, 19.1R2;
    • 19.2 versiones anteriores a 19.2R1-S2, 19.2R2.

Descripción:

Se han publicado múltiples vulnerabilidades en productos Juniper que podrían permitir a un atacante ejecutar comandos como root, provocar la denegación del servicio, secuestrar la sesión J-Web para llevar a cabo acciones de administración o provocar el cierre inesperado y el reinicio del dispositivo.

Solución:

Actualizar los productos afectados desde el centro de descargas de Juniper.

Detalle:

  • El modo JDHCPD de Juniper Network podría permitir a un atacante enviar paquetes especialmente diseñados para ejecutar comandos arbitrarios como root en el dispositivo de destino o hacerse cargo de la ejecución de código del proceso JDHDCP. Se han reservado los identificadores CVE-2020-1602, CVE-2020-1605 y CVE-2020-1609 para esta vulnerabilidad.
  • El manejo incorrecto de los paquetes específicos de IPv6, enviados por los clientes, puede causar que el tráfico de IPv6 de los dispositivos del cliente se pierda y provocar una pérdida de memoria dentro del dispositivo que conduzca a un bloqueo del kernel (vmcore) creando una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2020-1603 para esta vulnerabilidad.
  • Una protección insuficiente contra ataques de Cross-Site Scripting (XSS) en J-Web puede permitir a un atacante, remoto, inyectar secuencias de comandos web o HTML, secuestrar la sesión de J-Web del usuario objetivo o realizar acciones administrativas en el dispositivo Junos como otro usuario. Se ha reservado el identificador CVE-2020-1607 para esta vulnerabilidad.
  • La recepción de un paquete MPLS o IPv6 específico en la interfaz del core de un dispositivo de la serie MX, configurado para el servicio Broadband Edge (BBE), puede provocar el cierre inesperado de vmcore, haciendo que el dispositivo se reinicie. Se ha reservado el identificador CVE-2020-1608 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad