Vulnérabilités dans Junos de Juniper Network
Date de publication :
Utilisé dans les réseaux informatiques Juniper Network, le système d’exploitation Junos permet un déploiement et la gestion rapide de multiples services. Les vulnérabilités présentées dans ce bulletin concernent ce système d’exploitation.
CVE-2022-22180 CVE-2022-22174 [Score CVSS v3.1: 7.5]
Un risque de saturation de la mémoire DMA a été identifié lors du traitement des paquets IPV6. L’exploitation de cette vulnérabilité par un attaquant distant, en utilisant des paquets malveillants, peut générer un déni de service.
CVE-2022-22178[Score CVSS v3.1: 7.5]
Un risque de débordement de mémoire tampon a été découvert dans le flux daemon Flowd. Des paquets malveillants peuvent être utilisés pour perturber ce flux. L’exploitation de cette vulnérabilité par un attaquant distant peut générer un déni de service.
CVE-2022-22176[Score CVSS v3.1: 7.4]
Un contrôle incorrect des données entrées par l’utilisateur a été identifié dans le protocole daemon « jdhcpd ».Le fonctionnement de ce protocole peut être altéré par l’utilisation d’un paquet DHCP malveillant. L’exploitation de cette vulnérabilité par un attaquant distant peut générer un déni de service.
CVE-2022-22175[Score CVSS v3.1: 7.5]
Un verrouillage incorrect des flux a été identifié dans le protocole de gestion des sessions multimédia SIP ALG. Des paquets malveillants peuvent être utilisés pour altérer le fonctionnement. L’exploitation de cette vulnérabilité par un attaquant distant peut générer un déni de service.
CVE-2022-22173[Score CVSS v3.1: 7.5]
Une fuite de mémoire a été signalée dans l’infrastructure de gestion des clés publiques « daemon pkid ». Des requêtes malveillantes peuvent être utilisées pour saturer la mémoire et générer ainsi un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de Service
Criticité
Score CVSS v3.1: 7.5 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentés.
Un correctif existe
Oui, pour l’ensemble des CVE présentés.
Une mesure de contournement existe
Oui, uniquement pour la CVE-2022-22180
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-22180
CWE-401: Missing Release of Memory after Effective Lifetime
Pour la CVE-2022-22178
CWE-121: Stack-based Buffer Overflow
Pour la CVE-2022-22176
CWE-20: Improper Input Validation
Pour la CVE-2022-22175
CWE-667: Improper Locking
Pour la CVE-2022-22174
CWE-401: Missing Release of Memory after Effective Lifetime
Pour la CVE-2022-22173
CWE-401: Missing Release of Memory after Effective Lifetime
Détails sur l’exploitation
Pour les CVE-2022-22180 CVE-2022-22178 CVE-2022-22175 CVE-2022-22174 CVE-2022-22173
Vecteur d’attaque : réseau
Complexité de l’attaque : Haute
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-22176
Vecteur d’attaque : adjacent
Complexité de l’attaque : Haute
Privilèges nécessaires pour réaliser l’attaque : Oui
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour la CVE-2022-22180
Les versions du système d’exploitation :
Junos OS 18.4
Junos OS 19.1
Junos OS 19.2
Junos OS 19.3
Junos OS 19.4
Junos OS 20.1
Junos OS 20.2
Junos OS 20.3
Junos OS 20.4
Junos OS 21.1
Junos OS 21.2
Junos OS 21.3
Les plateformes :
EX2300 Series
EX2300-MP Series
EX3400 Series
Pour la CVE-2022-22178
Les versions du système d’exploitation :
Junos OS 20.4
Junos OS 21.1
Junos OS 21.2
Junos OS 21.3
Les plateformes :
MX Series
SRX Series
Pour la CVE-2022-22176
Les versions du système d’exploitation :
Junos OS 15.1
Junos OS 18.3
Junos OS 18.4
Junos OS 19.1
Junos OS 19.2
Junos OS 19.3
Junos OS 19.4
Junos OS 20.2
Junos OS 20.3
Junos OS 20.4
Junos OS 21.1
Junos OS 21.2
Pour la CVE-2022-22175
Les versions du système d’exploitation :
Junos OS 20.4
Junos OS 21.1
Junos OS 21.2
Junos OS 21.3
Les plateformes :
MX Series
SRX Series
Pour la CVE-2022-22174
Les versions du système d’exploitation :
Junos OS 18.3
Junos OS 18.4
Junos OS 19.1
Junos OS 19.2
Junos OS 19.3
Junos OS 19.4
Junos OS 20.1
Junos OS 20.2
Junos OS 20.3
Junos OS 20.4
Junos OS 21.1
Junos OS 21.2
Les plateformes :
EX4600
QFX5000 Series
Pour la CVE-2022-22173
Les versions du système d’exploitation :
Junos OS 18.4
Junos OS 19.1
Junos OS 19.2
Junos OS 19.3
Junos OS 19.4
Junos OS 20.1
Junos OS 20.2
Junos OS 20.3
Junos OS 20.4
Junos OS 21.1
Junos OS 21.2
Junos OS 21.3
Les plateformes :
EX2300 Series
EX2300-MP Series
EX3400 Series
Solutions ou recommandations
Pour la CVE-2022-22180
- Un bulletin spécifique traitant de la solution de contournement et détaillant toutes les versions disposant d’un correctif est disponible ici.
Pour la CVE-2022-22178
- Un bulletin spécifique détaillant toutes les versions disposant d’un correctif est disponible ici.
Pour la CVE-2022-22176
- Un bulletin spécifique détaillant toutes les versions disposant d’un correctif est disponible ici.
Pour la CVE-2022-22175
- Un bulletin spécifique détaillant toutes les versions disposant d’un correctif est disponible ici.
Pour la CVE-2022-22174
- Un bulletin spécifique détaillant toutes les versions disposant d’un correctif est disponible ici.
Pour la CVE-2022-22173
Un bulletin spécifique détaillant toutes les versions disposant d’un correctif est disponible ici