[Warning] Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar

Robert Waldner waldner at cert.at
Fri Jan 11 15:46:45 CET 2019 

11. Jänner 2019

Beschreibung

   Der Netzwerkausrüster Juniper hat mehrere Security Advisories zu
   teils kritischen Sicherheitslücken in Juniper Space OS, Junos OS und
   ATP Software veröffentlicht.

   Zwei der Schwachstellen in Juniper ATP werden mit dem höchstmöglichen
   CVSS3 Score von 10 als kritisch eingestuft:
     * CVE-2019-0020, CVE-2019-0022
       https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10918

   Weitere Lücken mit CVSS3 Scores >9:
     * ATP: CVE-2019-0029 CVSS3 9,9
     * Space: CVE-2018-1126 CVSS3 9,8
     * Junos OS: EX, QFX and MX series: CVE-2019-0006 CVSS3 9,8
     * Junos OS: vMX series: CVE-2019-0007 CVSS3 9,3
     * Junos OS: CVE-2016-4448, CVE-2017-7375 CVSS3 9,8

Auswirkungen

   Unter anderem Denial of Service und Remote Code Execution (RCE). Da
   durch Ausnutzen der RCE-Lücken beliebiger Code auf betroffenen
   Systemen ausgeführt werden kann, sind alle Daten auf diesen Systemen
   sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.)
   Daten und weiteren Systeme gefährdet.

Betroffene Systeme

   Alle Juniper-Geräte, auf denen Juniper ATP, Space OS oder Junos OS
   Software in verwundbaren Releases läuft (grob: mit Patch-Stand vor
   Jänner 2019), sind mit einer gewissen Wahrscheinlichkeit anfällig -
   Details bitte den Advisories von Juniper zu entnehmen.

Abhilfe

   Einspielen der zur Verfügung gestellten Updates.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Juniper 2019-01 Security Bulletins (englisch)

https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES&cat=SIRT_1&&actp=&sort=datemodified&dir=descending&max=1000&batch=15&rss=true&itData.offset=0
   Meldung auf Heise Security
   https://heise.de/-4271009

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20190111/f17dd803/attachment.sig>

More information about the Warning mailing list