Juniper corrige une vulnérabilité importante sur l'interface en ligne de commande de Junos OS

Une vulnérabilité dans la validation des saisies utilisateurs a été identifiée et corrigée dans l'interface en ligne de commande (CLI) de Junos OS.

Une exploitation réussie de cette vulnérabilité pourrait provoquer un débordement de tampon qui permettrait à un attaquant authentifié en local d'exécuter du code arbitraire sur le système cible avec des privilèges root. 

Le problème affecte les versions suivantes de Junos Software: 14.1(X53), 14.2(.0) et 15.1(.0, X49, X53).

Informations
+

Risques

  • Exécution de code arbitraire
  • Élévation de privilèges

Criticité

  • CVSS v3 : 7.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Juniper Networks Junos OS 14.1X53 versions antérieures à 14.1X53-D46 sur EX2200/VC, EX3200, EX3300/VC, EX4200, EX4300, EX4550/VC, EX4600, EX6200, EX8200/VC (XRE), QFX3500, QFX3600 et QFX5100;
  • Juniper Networks Junos OS14.1X53 versions antérieures à 14.1X53-D130 sur QFabric System;
  • Juniper Networks Junos OS14.2 versions antérieures à 14.2R4-S9, 14.2R6;
  • Juniper Networks Junos OS15.1 versions antérieures à 15.1F5, 15.1R3;
  • Juniper Networks Junos OS15.1X49 versions antérieures à 15.1X49-D40 sur SRX Series;
  • Juniper Networks Junos OS15.1X53 versions antérieures à 15.1X53-D47 sur NFX150 et NFX250;
  • Juniper Networks Junos OS15.1X53 versions antérieures à 15.1X53-D65 sur QFX10000 Series;
  • Juniper Networks Junos OS15.1X53 versions antérieures à 15.1X53-D233 sur QFX5110 et QFX5200.

CVE

  • CVE-2017-10602

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir des versions 14.1X53-D46, 14.1X53-D130 (Pas encore publié), 14.2R4-S9, 14.2R6, 15.1F5, 15.1R3, 15.1X49-D40, 15.1X53-D47, 15.1X53-D65, 15.1X53-D233 et 16.1R1

Solution de contournement

  • Utiliser des listes de contrôle d'accès (ACL) ou des règles de pare-feu pour limiter l'accès à la CLI aux hôtes approuvés
  • Restreindre l'accès à l'interface en ligne de commande aux administrateurs hautement fiables