Corrigez ces bogues de Juniper Networks, selon la CISA • The Register
4 min readJuniper Networks a corrigé des bogues critiques sur ses produits Junos Area, Contrail Networking et NorthStar Controller qui sont suffisamment graves pour inciter CISA à intervenir et à conseiller aux administrateurs de mettre à jour le logiciel dès que feasible.
“CISA encourage les utilisateurs et les administrateurs à examiner les réseaux Juniper website page des avis de sécurité et appliquer les mises à jour nécessaires », selon les autorités fédérales Awareness cette semaine.
L’essentiel ici est l’examen : certaines de ces failles peuvent être exploitées pour faire tomber l’équipement ou permettre à un initié voyou non administrateur de prendre le contrôle d’une boîte. Certains peuvent ne pas être directement exploitables mais présents dans les logiciels des produits Juniper. Alors, examinez le risque et mettez à jour en conséquence.
Nous allons commencer par le Trous de sécurité dans Junos Room, le logiciel de gestion de réseau du fournisseur, que Juniper a collectivement qualifié de “critique”. En effet, contrairement aux failles critiques détaillées dans trois autres bulletins de sécurité publiés cette semaine, nous ne savons pas si ces bogues particuliers sont déjà exploités.
Toutes les mises à jour de sécurité critiques des autres produits notent que Juniper n’est au courant d’aucune exploitation malveillante – mais cet avis est manifestement absent des failles de Junos Place et le fournisseur n’a pas répondu à Le registre‘s demandes de renseignements sur les exploits dans la mother nature.
Selon le bulletin, qui a collectivement évalué 31 bogues Junos Room comme critiques, les vulnérabilités affectent plusieurs produits tiers, notamment le résolveur nginx, Oracle Java SE, OpenSSH, Samba, le gestionnaire de offers RPM, Kerberos, OpenSSL, le noyau Linux, curl, et serveur MySQL.
L’un d’eux, suivi comme CVE-2021-23017 dans le résolveur nginx, a reçu un rating de gravité CVSS de 9,4 sur 10, et s’il est exploité, il pourrait permettre à un attaquant de planter l’ensemble du système. Cela “pourrait permettre à un attaquant capable de forger des paquets UDP à partir du serveur DNS de provoquer un écrasement de la mémoire d’un octet, entraînant un plantage du processus de travail ou un autre affect potentiel”, a averti Juniper.
La société de réseautage et de sécurité a également publié un alertesur les vulnérabilités critiques dans Junos Room Protection Director Coverage Enforcer – cette pièce fournit une gestion et une surveillance centralisées des menaces pour les réseaux définis par logiciel – mais a noté qu’elle n’était au courant d’aucune exploitation malveillante de ces bogues critiques.
Bien que le fournisseur n’ait pas fourni de détails sur les bogues de Plan Enforcer, il a reçu un rating CVSS de 9,8 et il existe de “multiples” vulnérabilités dans ce produit, selon le bulletin de sécurité. Les failles affectent toutes les versions de Junos Space Coverage Enforcer antérieures à 22.1R1, et Juniper a déclaré avoir résolu les problèmes.
Le groupe suivant de vulnérabilités critiques existe dans les logiciels tiers utilisés dans le produit Contrail Networking. Dans cette sécurité bulletin Juniper a publié des mises à jour pour traiter as well as de 100 CVE qui remontent à 2013.
La mise à niveau vers la variation 21.4. corrige l’image de conteneur Crimson Hat Common Base Picture conforme à l’Open Container Initiative de Pink Hat Company Linux 7 vers Red Hat Company Linux 8, a expliqué le fournisseur dans l’alerte.
Et dans sa quatrième bulletin de sécurité critiquepublié cette semaine, Juniper a corrigé un bogue d’exécution de code à distance, suivi comme CVE-2021-23017 qui affecte son produit NorthStar Controller et a reçu un rating CVSS de 9,4.
Le fournisseur l’a décrit comme une “vulnérabilité d’erreur ponctuelle”. Il se trouve dans le résolveur nginx, utilisé dans le produit NorthStar Controller de Juniper, et s’il est exploité, il pourrait permettre à un attaquant distant non authentifié qui peut forger des paquets UDP à partir du serveur DNS de provoquer à nouveau un écrasement de la mémoire d’un octet. Selon l’entreprise, cela pourrait entraîner le blocage du processus ou l’exécution de code arbitraire.
La mise à niveau de nginx de 1.18. à 1.20.1 a résolu ce problème.
En moreover des quatre mises à jour de sécurité critiques, Juniper a également cette semaine émis 24qu’il considérait comme « de gravité élevée » pour des produits tels que Junos OS, Safe Analytics, Id Management Assistance, Paragon Lively Assurance et Contrail Networking. Le bogue de Junos OS, par exemple, peut être abusé par un utilisateur de bas niveau connecté pour obtenir le contrôle full du système, notons (CVE-2022-22221). ®
