Argitalpen data: 2019/07/11
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- Juniper Networks Junos OS, 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 16.1, 16.2, 17.1, 17.2, 17.2X75, 17.3, 17.4, 18.1, 18.2, 18.2X75, 18.3, 18.4 eta 19.1 bertsioak;
- Steel Belted Radius Carrier Edition, 8.4 eta 8.5 bertsioak;
- Juniper Secure Analytics (JSA) Series;
- Junos Space, 19.2R1 baino lehenagoko bertsioak.
Kaltetutako bertsioen xehetasun gehiago ikusteko, erreferentzien atala kontsultatu.
Azalpena:
Juniper-ek hainbat ahultasunen berri eman du, bere produktu hauei eragiten dietenak: Juniper Networks Junos OS, Steel Belted Radius Carrier Edition, Juniper Secure Analytics (JSA) Series eta Junos Space.
Konponbidea:
Kaltetutako produktuak eguneratzea: https://www.juniper.net/support/downloads/
Xehetasuna:
Asmo gaiztoko erabiltzaile batek aipatutako ahultasunak baliatuko balitu, kaltetutako produktuetan honako ekintza hauek egin litzake:
- zerbitzuaren ukapena (DoS),
- kodearen urruneko exekuzioa,
- babes kriptografikoko mekanismoak saihestu,
- HTTPS saioetan datuak txertatu, eta seguruenik SSL edo TLS bidez babestutako beste saio mota batzuetan ere,
- ziurtagiriak faltsutu,
- SSL zerbitzari arbitrarioak faltsutu,
- BKS-V1 keystore-ren integritatea arriskuan jarri,
- gako pribatuari buruzko xehetasunak ezagutzera eman,
- sinatutako egitura batean datu "ikusezinak" sartu,
- sinaduraren k balioari buruzko informazioa lortu eta, azkenik, baita balio pribatuari buruzkoa ere,
- gako pribatuak eskuratu,
- bereizketa eta berreskuratze erasoak egin testu lauan,
- babes kriptografikorako mekanismoa gainditu eta autentifikazio gako bat aurkitu,
- pribilegioak lortu edo horien eskalatzea egin,
- erabiltzaileak zerrendatu,
- PKCS#11 modulu lokal arbitrarioak exekutatu,
- gako pribatutik informazio sentikorra eskuratu,
- zerbitzua ustekabean itxi,
- Junos Os-en veriexec murrizpenak gainditu,
- informazioa zabaldu,
- konexio hori berrerabil dadin eragin, maiuskulen /minuskulen artean bereizten ez duen pasahitz zuzenaren bertsioa ezagutzen badu,
- osokoak gainezkatu eta mugez kanpo irakurri,
- libcurl-ek memoria dinamikoan (heap) oinarritutako bere bufferretik kanpo idatz dezan eragin,
- sare transferentziako eskaerak bidali host okerrera.
Ahultasun horietara lotutako identifikatzaileen zerrendak honako hauek dira:
- Erreserbatuak:
- Kritikoak eta altuak: CVE-2019-0049, CVE-2019-0052 y CVE-2019-0053.
- Ertainak eta baxuak: CVE-2019-0046 y CVE-2019-0048.
- Esleituak:
- Kritikoak eta altuak: CVE-2016-1951, CVE-2014-1545, CVE-2013-5607, CVE-2018-1000613, CVE-2018-1000180, CVE-2018-5382, CVE-2016-1000352, CVE-2016-1000344, CVE-2016-1000342, CVE-2016-1000340, CVE-2016-1000338, CVE-2015-8325, CVE-2016-6515, CVE-2016-10009, CVE-2016-10010, CVE-2016-10012, CVE-2018-15504, CVE-2018-15505, CVE-2018-1060, CVE-2018-1061, CVE-2018-11237, CVE-2018-0732, CVE-2016-8615, CVE-2016-8617, CVE-2016-8618, CVE-2016-8619, CVE-2016-8620, CVE-2016-8621, CVE-2016-8622, CVE-2016-8623, CVE-2016-8624, CVE-2016-8625, CVE-2018-10902, CVE-2019-5739 y CVE-2018-12327.
- Ertainak eta baxuak: CVE-2016-1938, CVE-2009-3555, CVE-2009-2409, CVE-2009-2408, CVE-2016-1000346, CVE-2016-1000345, CVE-2016-1000341, CVE-2015-7940, CVE-2013-1624, CVE-2016-2427, CVE-2016-6210, CVE-2015-6564, CVE-2016-10011, CVE-2019-1559, CVE-2018-1729, CVE-2018-0739, CVE-2016-8616 y CVE-2019-6133.
Etiketak: Eguneraketa, Ahultasuna