Inicio / Content / Boletín de INCIBE-CERT del 15-07-2021

Boletín de INCIBE-CERT del 15-07-2021

Múltiples vulnerabilidades en productos Juniper

Fecha de publicación: 
15/07/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • SBR Carrier 8.4.1, todas las versiones anteriores a la 8.4.1R19;
  • SBR Carrier 8.5.0, todas las versiones anteriores a la 8.5.0R10;
  • SBR Carrier 8.6.0, todas las versiones anteriores a la 8.6.0R4;
  • Contrail Networking, versiones anteriores a la 2011 y 3.2.18;
  • CTPView 9.1, versiones anteriores a la 9.1R2;
  • Juniper Contrail Insights, versiones anteriores a la 3.2.12-a1;
  • Junos Space, versiones anteriores a la 21.2R1.
Descripción: 

Juniper ha publicado varios avisos de seguridad que recogen múltiples vulnerabilidades, entre las que destacan 19 de severidad crítica, que afectan a varias líneas de productos de Juniper.

Solución: 

Actualizar a:

  • Juniper Networks SBR Carrier 8.4.1, versión 8.4.1R19 u otra posterior;
  • Juniper Networks SBR Carrier 8.5.0, versión 8.5.0R10 u otra posterior;
  • Juniper Networks SBR Carrier 8.6.0, versión 8.6.0R4 u otra posterior;
  • Contrail Networking, versiones 2011, 3.2.18 u otra posterior;
  • CTPView 9.1, versión 9.1R2 u otra posterior;
  • Contrail Insights, versión 3.2.12-a1, 3.3.0 u otra posterior, y
  • Junos Space, versión 21.2R1 u otra posterior.

Todas las actualizaciones están disponibles en el centro de descargas de Juniper.

Detalle: 

Los tipos de nuevas vulnerabilidades críticas publicadas se corresponden con los siguientes:

  • desbordamiento de búfer basado en pila (stack),
  • ejecución remota de código,
  • desbordamiento de búfer basado en montículo (heap),
  • falta de comprobación de longitud en primitivas criptográficas,
  • lectura fuera de límites,
  • permisos por defecto incorrectos,
  • validación de entrada incorrecta,
  • limitación incorrecta de un nombre de ruta a un directorio restringido,
  • desbordamiento de enteros,
  • escalada de privilegios,
  • restricción inadecuada de operaciones dentro de los límites del búfer de memoria, y
  • saneamiento incorrecto del campo de redireccionamiento 302.

Se han asignado los siguientes identificadores para estas vulnerabilidades críticas: CVE-2021-0276, CVE-2015-4335, CVE-2018-11218, CVE-2018-7584, CVE-2019-14901, CVE-2019-17133, CVE-2019-16746, CVE-2019-17006, CVE-2020-12403, CVE-2019-12450, CVE-2017-12652, CVE-2017-8283, CVE-2018-1126, CVE-2018-15686, CVE-2018-15688, CVE-2018-20060, CVE-2019-3462, CVE-2020-1472, CVE-2021-26937.

Encuesta valoración