Multiples Vulnérabilités concernant Juniper Network Junos OS

Date de publication :

De multiples vulnérabilités ont été découvertes concernant le produit Juniper Network Junos OS qui est le système d’exploitation installé et utilisé sur les équipements réseau du même nom. Deux vulnérabilités vont être décrites dans ce bulletin.

 

CVE-2021-31372[Score CVSS v3.1: 8.8]

Une vulnérabilité du type "escalade de privilèges" a été découverte dans l'interface J-Web de Juniper. Cette interface permet d'administrer et de gérer les différents équipements. Cette vulnérabilité est due à un filtrage insuffisant des entrées. Néanmoins celle-ci nécessite une authentification locale pour être exploitée. Il n'y a pas d'exploit connu à ce jour pour cette vulnérabilité.



CVE-2021-31385[Score CVSS v3.1: 8.8]

Une autre vulnérabilité de type " path traversal " a été découverte dans J-Web de Juniper.Cette interface web permet de surveiller, configurer, dépanner et gérer les différents équipements.

 

Ci-dessous, la liste des vulnérabilités non-traitées dans ce bulletin, avec leur score CVSS et le lien pour accéder au site du constructeur.

CVE-2021-31350   score CVSS :7.5

CVE-2021-31353   score CVSS :7.5

CVE-2021-31351   score CVSS :7.5

CVE-2021-31355   score CVSS :8.0

CVE-2021-31368   score CVSS :7.5

CVE-2021-31356   score CVSS :7.8

CVE-2021-31354   score CVSS :7.1

CVE-2021-31360   score CVSS :7.1

CVE-2021-31359   score CVSS :7.8

CVE-2021-31373   score CVSS :8.0

CVE-2021-31384   score CVSS :7.2

CVE-2021-31358   score CVSS :7.8

CVE-2021-31376   score CVSS :7.5

CVE-2021-31374   score CVSS :7.5

CVE-2021-31379   score CVSS :7.5

CVE-2021-31383   score CVSS :7.5

CVE-2021-31375   score CVSS :7.2

CVE-2021-0299     score CVSS :7.5

CVE-2020-1653     score CVSS :7.5

CVE-2020-1677     score CVSS :7.2

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Elévation de privilèges

    Atteinte à la confidentialité des données sensibles.

Criticité

    Score CVSS v3.1: 8.8 max

CVE

 

Composants vulnérables



Concernant la vulnérabilité CVE-2021-31372, les versions vulnérables de Juniper Networks Junos OS sont les suivantes :

    18.3 versions antérieures à 18.3R3-S5,

    18.4 versions antérieures à 18.4R3-S9,

    19.1 versions antérieures à 19.1R3-S6,

    19.2 versions antérieures à 19.2R3-S3,

    19.3 versions antérieures à 19.3R3-S3,

    19.4 versions antérieures à 19.4R3-S5,

    20.1 versions antérieures à 20.1R3-S1,

    20.2 versions antérieures à 20.2R3-S2,

    20.3 versions antérieures à 20.3R3-S1,

    20.4 versions antérieures à 20.4R3,

    21.1 versions antérieures à 21.1R2, 21.1R3,

    21.2 versions antérieures à 21.2R1-S1, 21.2R2.

 

Concernant la vulnérabilité CVE-2021-31385, les versions vulnérables de Juniper Networks Junos OS sont les suivantes :

 

    12.3 versions antérieures à 12.3R12-S19,

     
    15.1 versions antérieures à 15.1R7-S10,

     
    18.3 versions antérieures à 18.3R3-S5,

     
    18.4 versions antérieures à 18.4R3-S9,

     
    19.1 versions antérieures à 19.1R3-S6,

     
    19.2 versions antérieures à 19.2R1-S7, 19.2R3-S3,

     
    19.3 versions antérieures à 19.3R3-S3,

     
    19.4 versions antérieures à 19.4R3-S5,

     
    20.1 versions antérieures à 20.1R2-S2, 20.1R3-S1,

     
    20.2 versions antérieures à 20.2R3-S2,

     
    20.3 versions antérieures à 20.3R3,

     
    20.4 versions antérieures à 20.4R2-S1, 20.4R3,

     
    21.1 versions antérieures à 21.1R1-S1, 21.1R2.

     

Solutions ou recommandations

Concernant la vulnérabilité CVE-2021-31372 :

  • Il est recommandé d’appliquer les patchs de sécurité ou la mise à jour selon les versions.

Concernant la vulnérabilité CVE-2021-31385 :

  • Il est recommandé d’appliquer les patchs de sécurité ou la mise à jour selon les versions.

Liens