Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/07/11

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• Juniper Networks Junos OS, 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 16.1, 16.2, 17.1, 17.2, 17.2X75, 17.3, 17.4, 18.1, 18.2, 18.2X75, 18.3, 18.4 eta 19.1 bertsioak;
• Steel Belted Radius Carrier Edition, 8.4 eta 8.5 bertsioak;
• Juniper Secure Analytics (JSA) Series;
• Junos Space, 19.2R1 baino lehenagoko bertsioak.

Kaltetutako bertsioen xehetasun gehiago ikusteko, erreferentzien atala kontsultatu.

Azalpena: 

Juniper-ek hainbat ahultasunen berri eman du, bere produktu hauei eragiten dietenak: Juniper Networks Junos OS, Steel Belted Radius Carrier Edition, Juniper Secure Analytics (JSA) Series eta Junos Space.

Konponbidea: 

Kaltetutako produktuak eguneratzea: https://www.juniper.net/support/downloads/

Xehetasuna: 

Asmo gaiztoko erabiltzaile batek aipatutako ahultasunak baliatuko balitu, kaltetutako produktuetan honako ekintza hauek egin litzake:

• zerbitzuaren ukapena (DoS),
• kodearen urruneko exekuzioa,
• babes kriptografikoko mekanismoak saihestu,
• HTTPS saioetan datuak txertatu, eta seguruenik SSL edo TLS bidez babestutako beste saio mota batzuetan ere,
• ziurtagiriak faltsutu,
• SSL zerbitzari arbitrarioak faltsutu,
• BKS-V1 keystore-ren integritatea arriskuan jarri,
• gako pribatuari buruzko xehetasunak ezagutzera eman,
• sinatutako egitura batean datu "ikusezinak" sartu,
• sinaduraren k balioari buruzko informazioa lortu eta, azkenik, baita balio pribatuari buruzkoa ere,
• gako pribatuak eskuratu,
• bereizketa eta berreskuratze erasoak egin testu lauan,
• babes kriptografikorako mekanismoa gainditu eta autentifikazio gako bat aurkitu,
• pribilegioak lortu edo horien eskalatzea egin,
• erabiltzaileak zerrendatu,
• PKCS#11 modulu lokal arbitrarioak exekutatu,
• gako pribatutik informazio sentikorra eskuratu,
• zerbitzua ustekabean itxi,
• Junos Os-en veriexec murrizpenak gainditu,
• informazioa zabaldu,
• konexio hori berrerabil dadin eragin, maiuskulen /minuskulen artean bereizten ez duen pasahitz zuzenaren bertsioa ezagutzen badu,
• osokoak gainezkatu eta mugez kanpo irakurri,
• libcurl-ek memoria dinamikoan (heap) oinarritutako bere bufferretik kanpo idatz dezan eragin,
• sare transferentziako eskaerak bidali host okerrera.

Ahultasun horietara lotutako identifikatzaileen zerrendak honako hauek dira:

• Erreserbatuak: 
  
  • Kritikoak eta altuak:  CVE-2019-0049, CVE-2019-0052 y CVE-2019-0053.
  • Ertainak eta baxuak:  CVE-2019-0046 y CVE-2019-0048.
• Esleituak: 
  
  • Kritikoak eta altuak: CVE-2016-1951, CVE-2014-1545, CVE-2013-5607, CVE-2018-1000613, CVE-2018-1000180, CVE-2018-5382, CVE-2016-1000352, CVE-2016-1000344, CVE-2016-1000342, CVE-2016-1000340, CVE-2016-1000338, CVE-2015-8325, CVE-2016-6515, CVE-2016-10009, CVE-2016-10010, CVE-2016-10012, CVE-2018-15504, CVE-2018-15505, CVE-2018-1060, CVE-2018-1061, CVE-2018-11237, CVE-2018-0732, CVE-2016-8615, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619, CVE-2016-8620, CVE-2016-8621, CVE-2016-8622, CVE-2016-8623, CVE-2016-8624, CVE-2016-8625, CVE-2018-10902, CVE-2019-5739 y CVE-2018-12327.
  • Ertainak eta baxuak:  CVE-2016-1938, CVE-2009-3555, CVE-2009-2409, CVE-2009-2408, CVE-2016-1000346, CVE-2016-1000345, CVE-2016-1000341, CVE-2015-7940, CVE-2013-1624, CVE-2016-2427, CVE-2016-6210, CVE-2015-6564, CVE-2016-10011, CVE-2019-1559, CVE-2018-1729, CVE-2018-0739, CVE-2016-8616 y CVE-2019-6133.

Etiketak: Eguneraketa, Ahultasuna