Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/12/2015

Corregidas varias vulnerabilidades de Juniper

Juniper corrige varias vulnerabilidades críticas

Un usuario no autorizado podría disponer de acceso de administrador a través de SSH o telnet. Esta vulnerabilidad podría comprometer el sistema completo.

El fichero de log contendría una entrada indicando que el usuario 'system' habria hecho login pero validando al usuario no autorizado.

Además, se ha detectado otra vulnerabilidad, independiente de la anterior, por la que un atacante que pudiera monitorizar conexiones VPN, podría descifrarlas.

Por otro lado, la vulnerabilidad CVE-2015-7754 haría que cuando ssh-pka está configurado y habilitado en el firewall, el sistema podría volverse inestable e incluso permitir la ejecución remota de código.

Sistemas Afectados:

Cualquier producto y plataforma que utilice ScreenOS 6.2.0r15 hasta6.2.0r18 y 6.3.0r12 hasta 6.3.0r20.

Referencias:

CVE-2015-7755, CVE-2015-7754

Solución:

Actualizar a ScreenOS 6.3.0r12b, 6.3.0r13b, 6.3.0r14b, 6.3.0r15b, 6.3.0r16b, 6.3.0r17b, 6.3.0r18b, 6.3.0r19b.

Notas:

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&cat=SIRT_1&actp=LIST

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10712&cat=SIRT_1&actp=LIST

CSIRT-CV