Multiples vulnérabilités dans les produits Juniper

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Injection de requêtes illégitimes par rebond (CSRF)
Élévation de privilèges

Systèmes affectés

Produits NFX, Junos OS versions antérieures à 18.2R1, 18.2X75-D5
Produits CTP, CTPView versions antérieures à 7.3R6
Produits EX, Junos OS versions antérieures à 12.3R12-S15
Produits SRX
- Junos OS versions antérieures à 12.3X48-D80, 15.1X49-D120, 15.1X49-D150, 15.1X49-D171, 15.1X49-D180, à partir de la version 18.2R2-S1 et antérieures à 18.2R3, 18.4R2, ainsi que les versions antérieures à 18.2R3, 19.2R1 pour la série SRX 5000
- Junos OS avec J-Web activé versions antérieures à 12.3X48-D85, 15.1X49-D180
- Junos OS avec SIP ALG activé versions antérieures à 12.3X48-D61, 12.3X48-D65, 15.1X49-D130, 17.3R3, 17.4R2
Produits MX
- Junos OS gamme MX480, MX960, MX2008, MX2010, MX2020 versions antérieures à 18.1R2-S4, 18.1R3-S5, 18.1X75-D10 et ultérieures, versions antérieures à 18.2R1-S5, 18.2R2-S3, 18.2R3, 18.2X75-D50, 18.3R1-S4, 18.3R2, 18.3R3, 18.4R1-S2, 18.4R2
- Junos OS avec DHCPv6 activé versions antérieures à 15.1R7-S5, 16.1R7-S5, 16.2R2-S10, 17.1R3-S1, 17.2R3-S2, 17.3R3-S6, 17.4R2-S5, 17.4R3, 18.1R3-S6, 18.2R2-S4, 18.2R3, 18.2X75-D50, 18.3R1-S5, 18.3R3, 18.4R2, 19.1R1-S2, 19.1R2
- Junos OS avec cartes MS-PIC, MS-MIC ou MS-MPC et activation de NAT et SIP ALG, versions antérieures 16.1R7-S5, 16.2R2-S11, 17.1R3, 17.2R3-S3, 17.3R3-S6, 17.4R2-S8, 17.4R3, 18.1R3-S3, 18.2R3, 18.3R2, 18.4R
Toutes séries
- Junos OS versions antérieures à 15.1F6-S12, 15.1R7-S2, 15.1X49-D171, 15.1X49-D180, 15.1X53-D235, 15.1X53-D495, 15.1X53-D590, 15.1X53-D496, 15.1X53-D68, 15.1X53-D69, 16.1R3-S10, 16.1R4-S12, 16.1R6-S6, 16.1R7-S2, 16.2R2-S7, 17.1R3, 17.2R1-S7, 17.2R2-S6, 17.2R3, 17.2R3-S1, 17.3R2-S4, 17.3R3, 17.3R3-S4, 17.4R1-S6, 17.4R1-S7, 17.4R2-S3, 17.4R3, 18.1R2-S4, 18.1R3-S1, 18.1X75, 18.2R1-S5, 18.2R2-S2, 18.2R3, 18.3R1-S3, 18.3R2, 18.4R1-S2, 18.4R2
- Junos OS avec J-Web activé versions antérieures à 14.1X53-D51, 15.1F6-S13, 15.1R7-S5, 15.1X53-D238, 16.1R4-S13, 16.1R7-S5, 16.2R2-S10, 17.1R3-S1, 17.2R2-S8, 17.2R3-S3, 17.3R3-S5, 17.4R2-S8, 17.4R3, 18.1R3-S8, 18.2R3, 18.3R3, 18.4R2, 19.1R1-S2, 19.1R2
- Junos OS sur des équipements avec l'option Multi-Chassis Link Aggregation Group (MC-LAG) activée, versions ultérieures à 15.1 et antérieures à 16.1R6-S2, 16.1R7, 16.2R2-S10, 17.1R3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Juniper. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Juniper JSA10952 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10952&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10953 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10953&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10954 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10954&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10955 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10955&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10956 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10956&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10957 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10957&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10958 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10958&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10959 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10959&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10960 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10960&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10961 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10961&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10962 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10962&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10963 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10963&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10964 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10964&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10965 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10965&cat=SIRT_1&actp=LIST

Bulletin de sécurité Juniper JSA10966 du 10 octobre 2019

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10966&cat=SIRT_1&actp=LIST

Référence CVE CVE-2015-8325

https://www.cve.org/CVERecord?id=CVE-2015-8325

Référence CVE CVE-2016-10009

https://www.cve.org/CVERecord?id=CVE-2016-10009

Référence CVE CVE-2016-10010

https://www.cve.org/CVERecord?id=CVE-2016-10010

Référence CVE CVE-2016-10011

https://www.cve.org/CVERecord?id=CVE-2016-10011

Référence CVE CVE-2016-10012

https://www.cve.org/CVERecord?id=CVE-2016-10012

Référence CVE CVE-2018-20685

https://www.cve.org/CVERecord?id=CVE-2018-20685

Référence CVE CVE-2019-0054

https://www.cve.org/CVERecord?id=CVE-2019-0054

Référence CVE CVE-2019-0055

https://www.cve.org/CVERecord?id=CVE-2019-0055

Référence CVE CVE-2019-0056

https://www.cve.org/CVERecord?id=CVE-2019-0056

Référence CVE CVE-2019-0057

https://www.cve.org/CVERecord?id=CVE-2019-0057

Référence CVE CVE-2019-0058

https://www.cve.org/CVERecord?id=CVE-2019-0058

Référence CVE CVE-2019-0059

https://www.cve.org/CVERecord?id=CVE-2019-0059

Référence CVE CVE-2019-0060

https://www.cve.org/CVERecord?id=CVE-2019-0060

Référence CVE CVE-2019-0061

https://www.cve.org/CVERecord?id=CVE-2019-0061

Référence CVE CVE-2019-0062

https://www.cve.org/CVERecord?id=CVE-2019-0062

Référence CVE CVE-2019-0063

https://www.cve.org/CVERecord?id=CVE-2019-0063

Référence CVE CVE-2019-0064

https://www.cve.org/CVERecord?id=CVE-2019-0064

Référence CVE CVE-2019-0065

https://www.cve.org/CVERecord?id=CVE-2019-0065

Référence CVE CVE-2019-0066

https://www.cve.org/CVERecord?id=CVE-2019-0066

Référence CVE CVE-2019-0067

https://www.cve.org/CVERecord?id=CVE-2019-0067

Référence	CERTFR-2019-AVI-500
Titre	Multiples vulnérabilités dans les produits Juniper
Date de la première version	10 octobre 2019
Date de la dernière version	10 octobre 2019
Source(s)	Bulletin de sécurité Juniper JSA10952 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10953 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10954 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10955 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10956 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10957 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10958 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10959 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10960 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10961 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10962 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10963 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10964 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10965 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10966 du 10 octobre 2019
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Juniper

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document