Corrigez ces bogues de Juniper Networks, selon la CISA • The Register

Juniper Networks a corrigé des bogues critiques sur ses produits Junos House, Contrail Networking et NorthStar Controller qui sont suffisamment graves pour inciter CISA à intervenir et à conseiller aux administrateurs de mettre à jour le logiciel dès que attainable.

“CISA inspire les utilisateurs et les administrateurs à examiner les réseaux Juniper page des avis de sécurité et appliquer les mises à jour nécessaires », selon les autorités fédérales Interest cette semaine.

L’essentiel ici est l’examen : certaines de ces failles peuvent être exploitées pour faire tomber l’équipement ou permettre à un initié voyou non administrateur de prendre le contrôle d’une boîte. Certains peuvent ne pas être directement exploitables mais présents dans les logiciels des produits Juniper. Alors, examinez le risque et mettez à jour en conséquence.

Nous allons commencer par le Trous de sécurité dans Junos House, le logiciel de gestion de réseau du fournisseur, que Juniper a collectivement qualifié de “critique”. En effet, contrairement aux failles critiques détaillées dans trois autres bulletins de sécurité publiés cette semaine, nous ne savons pas si ces bogues particuliers sont déjà exploités.

Toutes les mises à jour de sécurité critiques des autres produits notent que Juniper n’est au courant d’aucune exploitation malveillante – mais cet avis est manifestement absent des failles de Junos Room et le fournisseur n’a pas répondu à Le registre‘s demandes de renseignements sur les exploits dans la mother nature.

Selon le bulletin, qui a collectivement évalué 31 bogues Junos Place comme critiques, les vulnérabilités affectent plusieurs produits tiers, notamment le résolveur nginx, Oracle Java SE, OpenSSH, Samba, le gestionnaire de offers RPM, Kerberos, OpenSSL, le noyau Linux, curl, et serveur MySQL.

L’un d’eux, suivi comme CVE-2021-23017 dans le résolveur nginx, a reçu un rating de gravité CVSS de 9,4 sur 10, et s’il est exploité, il pourrait permettre à un attaquant de planter l’ensemble du système. Cela “pourrait permettre à un attaquant capable de forger des paquets UDP à partir du serveur DNS de provoquer un écrasement de la mémoire d’un octet, entraînant un plantage du processus de travail ou un autre influence potentiel”, a averti Juniper.

La société de réseautage et de sécurité a également publié un alertesur les vulnérabilités critiques dans Junos Place Security Director Policy Enforcer – cette pièce fournit une gestion et une surveillance centralisées des menaces pour les réseaux définis par logiciel – mais a noté qu’elle n’était au courant d’aucune exploitation malveillante de ces bogues critiques.

Bien que le fournisseur n’ait pas fourni de détails sur les bogues de Plan Enforcer, il a reçu un rating CVSS de 9,8 et il existe de “multiples” vulnérabilités dans ce produit, selon le bulletin de sécurité. Les failles affectent toutes les variations de Junos Area Coverage Enforcer antérieures à 22.1R1, et Juniper a déclaré avoir résolu les problèmes.

Le groupe suivant de vulnérabilités critiques existe dans les logiciels tiers utilisés dans le produit Contrail Networking. Dans cette sécurité bulletin Juniper a publié des mises à jour pour traiter in addition de 100 CVE qui remontent à 2013.

La mise à niveau vers la edition 21.4. corrige l’image de conteneur Pink Hat Universal Base Image conforme à l’Open Container Initiative de Pink Hat Company Linux 7 vers Pink Hat Organization Linux 8, a expliqué le fournisseur dans l’alerte.

Et dans sa quatrième bulletin de sécurité critiquepublié cette semaine, Juniper a corrigé un bogue d’exécution de code à length, suivi comme CVE-2021-23017 qui affecte son produit NorthStar Controller et a reçu un rating CVSS de 9,4.

Le fournisseur l’a décrit comme une “vulnérabilité d’erreur ponctuelle”. Il se trouve dans le résolveur nginx, utilisé dans le produit NorthStar Controller de Juniper, et s’il est exploité, il pourrait permettre à un attaquant distant non authentifié qui peut forger des paquets UDP à partir du serveur DNS de provoquer à nouveau un écrasement de la mémoire d’un octet. Selon l’entreprise, cela pourrait entraîner le blocage du processus ou l’exécution de code arbitraire.

La mise à niveau de nginx de 1.18. à 1.20.1 a résolu ce problème.

En moreover des quatre mises à jour de sécurité critiques, Juniper a également cette semaine émis 24qu’il considérait comme « de gravité élevée » pour des produits tels que Junos OS, Safe Analytics, Identity Management Assistance, Paragon Active Assurance et Contrail Networking. Le bogue de Junos OS, par exemple, peut être abusé par un utilisateur de bas niveau connecté pour obtenir le contrôle complete du système, notons (CVE-2022-22221). ®