Múltiples vulnerabilidades en productos Juniper
- SBR Carrier 8.4.1, todas las versiones anteriores a la 8.4.1R19;
- SBR Carrier 8.5.0, todas las versiones anteriores a la 8.5.0R10;
- SBR Carrier 8.6.0, todas las versiones anteriores a la 8.6.0R4;
- Contrail Networking, versiones anteriores a la 2011 y 3.2.18;
- CTPView 9.1, versiones anteriores a la 9.1R2;
- Juniper Contrail Insights, versiones anteriores a la 3.2.12-a1;
- Junos Space, versiones anteriores a la 21.2R1.
Juniper ha publicado varios avisos de seguridad que recogen múltiples vulnerabilidades, entre las que destacan 19 de severidad crítica, que afectan a varias líneas de productos de Juniper.
Actualizar a:
- Juniper Networks SBR Carrier 8.4.1, versión 8.4.1R19 u otra posterior;
- Juniper Networks SBR Carrier 8.5.0, versión 8.5.0R10 u otra posterior;
- Juniper Networks SBR Carrier 8.6.0, versión 8.6.0R4 u otra posterior;
- Contrail Networking, versiones 2011, 3.2.18 u otra posterior;
- CTPView 9.1, versión 9.1R2 u otra posterior;
- Contrail Insights, versión 3.2.12-a1, 3.3.0 u otra posterior, y
- Junos Space, versión 21.2R1 u otra posterior.
Todas las actualizaciones están disponibles en el centro de descargas de Juniper.
Los tipos de nuevas vulnerabilidades críticas publicadas se corresponden con los siguientes:
- desbordamiento de búfer basado en pila (stack),
- ejecución remota de código,
- desbordamiento de búfer basado en montículo (heap),
- falta de comprobación de longitud en primitivas criptográficas,
- lectura fuera de límites,
- permisos por defecto incorrectos,
- validación de entrada incorrecta,
- limitación incorrecta de un nombre de ruta a un directorio restringido,
- desbordamiento de enteros,
- escalada de privilegios,
- restricción inadecuada de operaciones dentro de los límites del búfer de memoria, y
- saneamiento incorrecto del campo de redireccionamiento 302.
Se han asignado los siguientes identificadores para estas vulnerabilidades críticas: CVE-2021-0276, CVE-2015-4335, CVE-2018-11218, CVE-2018-7584, CVE-2019-14901, CVE-2019-17133, CVE-2019-16746, CVE-2019-17006, CVE-2020-12403, CVE-2019-12450, CVE-2017-12652, CVE-2017-8283, CVE-2018-1126, CVE-2018-15686, CVE-2018-15688, CVE-2018-20060, CVE-2019-3462, CVE-2020-1472, CVE-2021-26937.