Argitalpen data: 2020/10/15
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- Junos OS, bertsio hauek: 12.3, 12.3X48, 15.1, 15.1X49, 16.1, 17.2, 17.2X75, 17.3, 17.4, 18.1, 18.2, 18.2X75, 18.3, 18.4, 19.1, 19.2, 19.3 y 19.4, 20.1;
- Mist Cloud UI;
- Contrail Networking.
Azalpena:
Juniperrek hainbat ahultasunetarako
segurtasun oharrak argitaratu ditu. Horien artean, nabarmendu beharko genituzke
larritasun kritikoko 3, mota hauetakoak: Telnet zerbitzariko kodearen exekuzio
arbitrarioa, SAML erantzunen kudeaketa desegokia eta exekuzio arbitrarioa YAML
artxibo ez fidagarriak prozesatzean.
Konponbidea:
- Juno OS bertsio hauetakoren batera eguneratzea: 12.3R12-S16, 12.3X48-D105, 15.1R7-S7, 15.1X49-D220, 15.1X49-D230, 16.1R7-S8, 17.2R3-S4, 17.2X75-D45, 17.3R3-S8, 17.3R3-S9, 17.4R2-S11, 17.4R3-S2, 18.1R3-S10, 18.2R3-S5, 18.2X75-D34, 18.2X75-D41, 18.2X75-D430, 18.2X75-D65, 18.3R2-S4, 18.3R3-S3, 18.4R2-S5, 18.4R3-S4, 19.1R2-S2, 19.1R3-S2, 19.2R1-S5, 19.2R2, 19.2R2-S1, 19.2R3, 19.3R2-S3, 19.3R3, 19.4R1-S3, 19.4R2-S1, 19.4R3, 20.1R1-S2, 20.1R2, 20.2R1, 20.3X75-D10 eta ostekoak;
- Mist Cloud UI 2020ko irailaren 2an eguneratu zen, ahultasunak konpontzeko;
- Contrail Networking R2008 bertsiora eguneratzea.
Eguneratze guztiak eskura daude Juniperren deskarga zentroan.
Xehetasunak:
- Telnet telnetd zerbitzariko ahultasun baten bidez, urrutiko erasotzaileek kode arbitrarioa exekutatu lezakete idazketa labur edo datu urgenteen bidez, netclear eta nextitem funtzioak barne hartzen dituen buffer gainezkatzearen bidez. Ahultasun horretarako, CVE-2020-10188 identifikatzailea esleitu da.
- Mist Cloud UI sistemak, SAML egiaztatzea gaituta dagoenean, SAML erantzunak desegoki kudeatu litzake (Security Assertion Markup Language), eta urrutiko erasotzaile batek SAML egiaztatzearen segurtasun kontrolak saihestu litzake. CVE-2020-1675, CVE-2020-1676 y CVE-2020-1677 identifikatzaileak esleitu dira ahultasun horietarako. Bakarrik edota konbinatuta ustiatu daitezke.
- PyYAML liburutegiko ahultasun baten bidez, kode arbitrarioa exekutatu liteke konfiantzazkoak ez diren YAML artxiboak prozesatzean (YAML Ain't Markup Language), full load metodoaren bidez edo FullLoader kargadorearen bidez. Ahultasun horretarako, CVE-2020-1747 identifikatzailea esleitu da.
Etiketak: Eguneratzea, Komunikazioak, Ahultasuna.