Argitalpen data: 2019/01/10
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- Junos OS, 16.1, 16.2, 17.1, 17.2,
17.3, 17.4, 18.1, 18.2 bertsioak, vlan dinamikoaren konfigurazioa duten MX
Series plataformetan.
- Junos OS 12.1X46, 12.1X46-D77 baino
lehenagoko bertsioak SRX Series plataformetan;
- Junos OS 12.3, 12.3R12-S10 baino
lehenagoko bertsioak;
- Junos OS 12.3X48, 12.3X48-D70 baino
lehenagoko bertsioak SRX Series plataformetan;
- Junos OS 14.1X53, 14.1X53-D47 baino
lehenagoko bertsioak EX2200/VC, EX3200, EX3300/VC, EX4200, EX4300,
EX4550/VC, EX4600, EX6200, EX8200/VC (XRE), QFX3500, QFX3600, QFX5100
plataformetan;
- Junos OS 15.1, 15.1R3 baino
lehenagoko bertsioak;
- Junos OS 15.1F, 15.1F3 baino
lehenagoko bertsioak;
- Junos OS 15.1X49, 15.1X49-D140 baino
lehenagoko bertsioak SRX Series plataformetan;
- Junos OS 15.1X53, 15.1X53-D59 baino
lehenagoko bertsioak EX2300/EX3400 plataformetan.
- Junos OS, 15.1 baino lehenagoko
bertsioak vMX Series plataformetan.
- Junos OS 14.1X53, 14.1X53-D47 baino
lehenagoko bertsioak EX eta QFX Virtual Chassis plataformetan.
- Junos OS 15.1, 15.1R7-S3 baino
lehenagoko bertsioak Virtual Chassis guztietan.
- Junos OS 15.1X53, 15.1X53-D50 baino
lehenagoko bertsioak EX eta QFX Virtual Chassis plataformetan.
- Junos OS 12.1X46, 12.3X48, 15.1X49,
SRX Series plataformetan.
- Junos OS, 12.1X46, 12.3, 12.3X48,
14.1X53, 15.1, 15.1X49, 15.1X53, 16.1, 16.2, 17.1, 17.2, 17.3, 17.4, 18.1.
- Junos OS 17.2X75, 17.4, 18.1, 18.2
QFX eta PTX Series plataformetan.
- Juniper ATP, 5.0.3 eta 5.0.4
bertsioetan
Azalpena:
Juniperrek 8 segurtasun
ohartarazpen argitaratu ditu. Horietan 13 ahultasunen berri ematen da, 5
larritasun kritikokoak eta 8 garrantzi altukoak.
Konponbidea:
- Kaltetutako produktu bakoitzari
buruzko informazio xehea eskuratzeko "Erreferentziak" atala bisitatu.
Xehetasuna:
Honakoak dira larritasun
kritikoko ahultasunak:
- vMX seriearen softwareak erabiltzen
duen IP identifikazioaren sekuentziaren zenbakia aurreikusgarria da. Horren ondorioz, bai sistemak berak eta bai gailuaren
bitartez konektatzen diren bezeroek eraso multzo bat jasan lezakete, hain
zuzen ere, bere eraso metodoa IP ID aurreikusgarrien sekuentzien zenbakien
erabilpenean oinarritzen dutenak. Ahultasun
horretarako CVE-2019-0007 identifikatzailea erreserbatu da.
- HTTP pakete jakin batek hasieratu
gabeko funtzioaren erakuslearen deserreferentzia erako ahultasun bat
eragin lezake paketeak (fxpc) birbideratzeko motorraren kudeatzailean, EX,
QFX eta MX serieetako gailu guztietan, Virtual Chassis-en konfigurazio
batean. Horrek fxpc deabruaren akats bat
eragin lezake edo erasotzaile bati ahalbidetu liezaioke urrunetik kodea
exekutatzea. Ahultasun horretarako CVE-2019-0006
identifikatzailea erreserbatu da.
- Juniper ATPn:
- Web Collertor-ek kredentzial
barneratuak erabiltzen ditu. Ahultasun
horretarako CVE-2019-0020 identifikatzailea erreserbatu da.
- Pasahitz berdina duten barneratutako
bi kredentzialek erasotzaile bati ahalbidetzen diote edozein software
instalazioren kontrola hartzea. Ahultasun
horretarako CVE-2019-0022 identifikatzailea erreserbatu da.
- Splunk-en kredentzialak
autentifikatutako erabiltzaile lokalek irakur dezaketen fitxategi batean
erregistratzen dira. Kredentzial horiek erabiliz,
erasotzaile batek Splunk zerbitzarira sarbidea lor lezake. Ahultasun horretarako CVE-2019-0029
identifikatzailea erreserbatu da.
Larritasun altuko gainerako
ahultasunetarako ondoko identifikatzaileak erreserbatu dira: CVE-2019-0001,
CVE-2019-0003, CVE-2019-0010, CVE-2019-0012, CVE-2019-0014, CVE-2017-11610,
CVE-2019-0021, CVE-2019-0004.
Etiketak: Eguneraketa,
Sistema Eragilea, Ahultasuna