S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 janvier 2018
N° CERTFR-2018-AVI-026
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Juniper

Gestion du document

Référence CERTFR-2018-AVI-026
Titre Multiples vulnérabilités dans les produits Juniper
Date de la première version11 janvier 2018
Date de la dernière version11 janvier 2018
Source(s) Bulletin de sécurité Juniper JSA10828 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10829 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10830 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10831 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10832 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10833 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10834 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10835 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10836 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10837 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10838 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10839 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10840 du 10 janvier 2018
Bulletin de sécurité Juniper JSA10841 du 10 janvier 2018
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Injection de requêtes illégitimes par rebond (CSRF)
  • Élévation de privilèges

Systèmes affectés

  • CTPView versions 7.1, 7.2 et 7.3.
  • Junos OS versions 12.1X46 antérieures à 12.1X46-D71
  • Junos OS versions 12.1X46 antérieures à 12.1X46-D71 sur SRX
  • Junos OS versions 12.3 antérieures à 12.3R12-S7
  • Junos OS versions 12.3R antérieures à 12.3R12-S7
  • Junos OS versions 12.3R12 antérieures à 12.3R12-S7
  • Junos OS versions 12.3X48 antérieures à 12.3X48-D55
  • Junos OS versions 12.3X48 antérieures à 12.3X48-D55 sur SRX
  • Junos OS versions 12.3X48 versions 12.3X48-D55 et supérieures mais antérieures à 12.3X48-D65
  • Junos OS versions 14.1 antérieures à 14.1R8-S5, 14.1R9
  • Junos OS versions 14.1 antérieures à 14.1R9 sur MX series
  • Junos OS versions 14.1X53 antérieures à 14.1X53-D40 sur QFX, EX
  • Junos OS versions 14.1X53 antérieures à 14.1X53-D46, 14.1X53-D50 et 14.1X53-D107
  • Junos OS versions 14.2 antérieures à 14.2R7-S9, 14.2R8
  • Junos OS versions 14.2 antérieures à 14.2R8
  • Junos OS versions 14.2 antérieures à 14.2R8 sur MX series
  • Junos OS versions 15.1 antérieures à 15.1F2-S17, 15.1F5-S8, 15.1F6-S8, 15.1R5-S7, 15.1R7
  • Junos OS versions 15.1 antérieures à 15.1F5-S8, 15.1F6-S8, 15.1R5-S6, 15.1R6-S3, 15.1R7, 15.1F6, 15.1R3
  • Junos OS versions 15.1 antérieures à 15.1R5-S8, 15.1F6-S9, 15.1R6-S4, 15.1R7 sur MX series
  • Junos OS versions 15.1 antérieures à 15.1R6-S2, 15.1R7
  • Junos OS versions 15.1R5-S4, 15.1R5-S5 et 15.1R6
  • Junos OS versions 15.1X49 antérieures à 15.1X49-D110 sur SRX
  • Junos OS versions 15.1X49 versions 15.1X49-D100 et supérieures mais antérieures à 15.1X49-D121
  • Junos OS versions 15.1X53 antérieures à 15.1X53-D232 sur QFX5200/5110
  • Junos OS versions 15.1X53 antérieures à 15.1X53-D49, 15.1X53-D470 sur NFX
  • Junos OS versions 15.1X53 antérieures à 15.1X53-D65 sur QFX10K
  • Junos OS versions 15.1X53 antérieures à 15.1X53-D70, 15.1X53-D231
  • Junos OS versions 16.1 antérieures à 16.1R3-S6, 16.1R4-S6 et 16.1R5
  • Junos OS versions 16.1 antérieures à 16.1R5-S1, 16.1R6
  • Junos OS versions 16.1 antérieures à 16.1R6 sur MX series
  • Junos OS versions 16.1X65 antérieures à 16.1X65-D45
  • Junos OS versions 16.2 antérieures à 16.2R2, 16.2R2-S2, 16.2R3
  • Junos OS versions 16.2 antérieures à 16.2R3 sur MX series
  • Junos OS versions 17.1 antérieures à 17.1R2-S5, 17.1R3 et 17.1R3 sur MX series
  • Junos OS versions 17.2X75 antérieures à 17.2X75-D50
  • Junos Space antérieures à 17.2R1
  • ScreenOS toutes versions sans le dernier correctif de sécurité
  • Security Director et Log Collector antérieures à 17.2R1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Juniper. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 janvier 2018
    Version initiale