Múltiples vulnerabilidades en productos Juniper

Juniper ha publicado un aviso de seguridad sobre vulnerabilidades graves, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicio (DoS), entre otros.

Las vulnerabilidades reportadas se componen 1 (uno) de severidad “Critica”, 7 (siete) de severidad “Alta”, 15 (quince) de severidad “Media” y 7 (diez) de severidad “Baja”. Las principales se detallan a continuación:

  • CVE-2021-23017  de severidad critica, con una puntuación asignada de 9.8. La vulnerabilidad existe debido a una sobreescritura de memoria al utilizar la función “resolver” del nginx server en Juniper. Esto permitiría a un atacante remoto realizar ejecución remota de código (RCE) en el sistema afectado.
  • CVE-2021-42574 de severidad alta, con una puntuación asignada de 8.3. Esta vulnerabilidad se debe a un problema en el algoritmo bidireccional en la especificación Unicode. Un atacante remoto podría enviar secuencias de código especialmente diseñadas de manera que no coincida los datos que serán procesados por un compilador/interprete.

Se puede acceder al listado completo de las vulnerabilidades subsanadas aquí.

Algunas versiones de productos afectados son:

  • Juniper Networks NorthStar Controller:
    • versiones anteriores a 5.1.0 Service Pack 6.
    • versiones 6 anteriores a 6.2.2.
  • Juniper Networks Junos Space Policy Enforcer, versiones anteriores a 22.1R1. 
  • Juniper Networks Contrail Networking, versiones anteriores a 21.4.0.
  • Juniper Networks Junos Space, versiones anteriores a 22.1R1.

Recomendamos actualizar el software descargando e instalando las actualizaciones proveídas por Juniper, en el siguiente enlace:

Referencias:

Compartir: