Deux vulnérabilités ont été identifiées sur plusieurs versions de Junos

Deux vulnérabilités ont été identifiées sur plusieurs versions du système d’exploitation Junos de Juniper Networks. Leur exploitation pourrait permettre de provoquer un déni de service à distance, un contournement de la politique de sécurité ou une élévation de privilèges.

Deux références CVE ont été attribuées à ces vulnérabilités:

  • CVE-2018-0007: Pour une vulnérabilité dans le traitement des paquets LLDP. Son exploitation pourrait permettre de provoquer un déni de service et d’élever ses privilèges dans le cas d’un attaquant authentifié ;
  • CVE-2018-0008: Pour une vulnérabilité liée à l’exécution de script de validation de configuration par l’administrateur qui dans certains cas, après redémarrage, mettrait le système en mode sans échec autorisant ainsi des connexions root sans mot de passe.
Informations
+

Impact

  • Déni de service à distance ;

  • Contournement de la politique de sécurité ;

  • Élévation de privilèges.

Criticité

  • CVSS v3 : 7.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Junos OS versions antérieures à 12.1X46-D71

  • Junos OS versions antérieures à 12.3R12-S7

  • Junos OS versions antérieures à 12.3X48-D55

  • Junos OS versions antérieures à 14.1R8-S5

  • Junos OS versions antérieures à 14.1R9

  • Junos OS versions antérieures à 14.1X53-D40

  • Junos OS versions antérieures à 14.1X53-D46

  • Junos OS versions antérieures à 14.2R7-S9

  • Junos OS versions antérieures à 14.2R8

  • Junos OS versions antérieures à 15.1F2-S17

  • Junos OS versions antérieures à 15.1F5-S7

  • Junos OS versions antérieures à 15.1F5-S8

  • Junos OS versions antérieures à 15.1F6-S8

  • Junos OS versions antérieures à 15.1R5-S6

  • Junos OS versions antérieures à 15.1R6

  • Junos OS versions antérieures à 15.1R7

  • Junos OS versions antérieures à 15.1X49-D110

  • Junos OS versions antérieures à 15.1X49-D90

  • Junos OS versions antérieures à 15.1X53-D232

  • Junos OS versions antérieures à 15.1X53-D470

  • Junos OS versions antérieures à 15.1X53-D49

  • Junos OS versions antérieures à 15.1X53-D59

  • Junos OS versions antérieures à 15.1X53-D65

  • Junos OS versions antérieures à 16.1R2

  • Junos OS versions antérieures à 16.1R4-S6

  • Junos OS versions antérieures à 16.1R5

  • Junos OS versions antérieures à 16.1X65-D45

  • Junos OS versions antérieures à 16.2R1

  • Junos OS versions antérieures à 16.2R2

  • Junos OS versions antérieures à 17.1R2

  • Junos OS versions antérieures à 17.2R1

CVE

  • CVE-2018-0007
  • CVE-2018-0008

Recommandations
+

Correctifs

  • Juniper Networks a publié différents correctifs pour ces vulnérabilités en fonction des produits et de leurs versions. Les informations sont disponibles sur le bulletin de sécurité de l’éditeur.

Solution de contournement