Múltiples vulnerabilidades en productos Juniper

Fecha de publicación: 

14/04/2016

Importancia: 

4 - Alta

Recursos afectados: 

• Sistemas que utilizan Junos OS.
• Sistemas que utilizan Junos OS con J-Web activado.
• Sistemas que utilizan Junos OS con la familia BGP basados en L2VPN y/o VPLS configurado.
• Sistemas que utilizan ScreenOS en la versión 6.3.0r19b o anteriores.
• Dispositivos CTP Series que ejecutan CTPOS 7.1R1 o anteriores.
• Sistemas que utilizan Junos Space en versiones anteriores a la 15.2R1.
• Sistemas que utilizan ScreenOS en versiones anteriores a la 6.3.0r22.
• Dispositivos QFX Series ejecutando Junos OS 14.1X53.
• Dispositivos QFX5100, QFX10002.

Descripción: 

Se han publicado parches para múltiples vulnerabilidades en diferentes productos Juniper, 9 de ellas de criticidad alta y 5 de criticad media.

Solución: 

Se han publicado nuevas versiones para los diferentes productos afectados que solucionan las vulnerabilidades, disponibles en el Customer Support website, de Juniper.

Detalle: 

• Múltiples vulnerabilidades en Junos OS (J-Web): (Alta). Se ha reservado el CVE-2016-1261 para esta vulnerabilidad.
• Vulnerabilidad de condición de carrera en Junos OS (Op script Op URL): (Alta). Se ha reservado el CVE-2016-1264 para esta vulnerabilidad.
• Múltiples vulnerabilidades en Junos Space: (Media). Se ha reservado el CVE-2016-1265 para esta vulnerabilidad.
• Vulnerabilidad de condición de carrera en Junos OS ( RPC): (Media). Se ha reservado el CVE-2016-1267 para esta vulnerabilidad.
• Vulnerabilidad de denegación de servicio en ScreenOS: (Alta). Se ha reservado el CVE-2016-1268 para esta vulnerabilidad.
• Vulnerabilidad de fuga de information y desbordamiento de memoria en JunosOS (cliente OpenSSH): (Media). Se han reservado los identificadores CVE-2016-0777 y CVE-2016-0778 para estas vulnerabilidades.
• Múltiples vulnerabilidades en CTP Series: (Alta).
• Vulnerabilidad de denegación de servicio en Junos OS: (Alta). Se ha reservado el CVE-2016-1269 para esta vulnerabilidad.
• Vulnerabilidad de denegación de servicio en Junos OS (BGP): (Alta). Se ha reservado el CVE-2016-1270 para esta vulnerabilidad.
• Múltiples vulnerabilidades de escalada de privilegios en Junos OS (CLI): (Alta). Se ha reservado el CVE-2016-1271 para esta vulnerabilidad.
• Múltiples vulnerabilidades en JunosOS (cURL y libcurl): (Alta).
• Vulnerabilidad de entropía insuficiente en sistemas GFX: (Alta). Se ha reservado el CVE-2016-1273 para esta vulnerabilidad.
• Vulnerabilidad de denegación de servicio en sistemas QFX: (Media). Se ha reservado el CVE-2016-1274 para esta vulnerabilidad.
• Múltiples vulnerabilidades en ScreenOS (OpenSSL): (Media).

Referencias: 

QFX Series: PFE panic while processing VXLAN packets (CVE-2016-1274)

Junos: Multiple vulnerabilities in cURL and libcurl

ScreenOS: Multiple Vulnerabilities in OpenSSL

Junos: A race condition in the Op script Op URL option allows an authenticated remote attacker to fully compromise the system (CVE-2016-1264)

Junos: Lazy race condition in RPC allows an authenticated user to improperly elevate privileges (CVE-2016-1267)

QFX Series: Insufficient entropy on QFX systems (CVE-2016-1273)

Junos: Manipulating TCP timestamps can lead to resource exhaustion denial of service (CVE-2016-1269)

Junos: Multiple privilege escalation vulnerabilities in Junos CLI (CVE-2016-1271)

ScreenOS: Malformed SSL/TLS packet causes Denial of Service (CVE-2016-1268)

Junos Space: Multiple Vulnerabilities in Junos Space (CVE-2016-1265)

Junos: Multiple vulnerabilities in J-Web (CVE-2016-1261)

Junos: OpenSSH Client Information Leak and Buffer Overflow in roaming support (CVE-2016-0777, CVE-2016-0778)

CTP Series: Multiple vulnerabilities in CTP Series

Junos: RPD cores on receiving a crafted L2VPN family BGP update (CVE-2016-1270)

Etiquetas: 

Vulnerabilidad