Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar

11. Jänner 2019

Beschreibung

Der Netzwerkausrüster Juniper hat mehrere Security Advisories zu teils kritischen Sicherheitslücken in Juniper Space OS, Junos OS und ATP Software veröffentlicht.

Zwei der Schwachstellen in Juniper ATP werden mit dem höchstmöglichen CVSS3 Score von 10 als kritisch eingestuft:

Weitere Lücken mit CVSS3 Scores >9:
  • ATP: CVE-2019-0029 CVSS3 9,9
  • Space: CVE-2018-1126 CVSS3 9,8
  • Junos OS: EX, QFX and MX series: CVE-2019-0006 CVSS3 9,8
  • Junos OS: vMX series: CVE-2019-0007 CVSS3 9,3
  • Junos OS: CVE-2016-4448, CVE-2017-7375 CVSS3 9,8

Auswirkungen

Unter anderem Denial of Service und Remote Code Execution (RCE). Da durch Ausnutzen der RCE-Lücken beliebiger Code auf betroffenen Systemen ausgeführt werden kann, sind alle Daten auf diesen Systemen sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und weiteren Systeme gefährdet.

Betroffene Systeme

Alle Juniper-Geräte, auf denen Juniper ATP, Space OS oder Junos OS Software in verwundbaren Releases läuft (grob: mit Patch-Stand vor Jänner 2019), sind mit einer gewissen Wahrscheinlichkeit anfällig - Details bitte den Advisories von Juniper zu entnehmen.

Abhilfe

Einspielen der zur Verfügung gestellten Updates.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Juniper 2019-01 Security Bulletins (englisch)
https://kb.juniper.net/InfoCenter/index/content&channel=SECURITY_ADVISORIES&cat=SIRT_1&&actp=&sort=datemodified&dir=descending&max=1000&batch=15&rss=true&itData.offset=0
Meldung auf Heise Security
https://heise.de/-4271009