Multiples vulnérabilités dans les logiciels Juniper

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Déni de service à distance
Exécution de code arbitraire à distance
Élévation de privilèges

Systèmes affectés

Contrail Networking versions antérieures à 2011.L4 et 21.3
Contrail Service Orchestration versions 6.0.x antérieures à 6.0.0 Patch v3
JIMS versions antérieures à 1.4.0
Paragon Active Assurance versions 3.1.x
Paragon Active Assurance versions 3.2.x
Paragon Active Assurance versions 3.3.x
Secure Analytics versions 7.3.x antérieures à 7.3.3 FixPack 7
Secure Analytics versions 7.4.x anttérieures à 7.4.2 FixPack 2

Résumé

De multiples vulnérabilités ont été découvertes dans les logiciels Juniper . Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Juniper JSA69495 du 13 avril 2022

https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-JIMS-Local-Privilege-Escalation-vulnerability-via-repair-functionality-CVE-2022-22187?language=en_US

Bulletin de sécurité Juniper JSA69498 du 13 avril 2022

https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Service-Orchestration-An-authenticated-local-user-may-have-their-permissions-elevated-via-the-device-via-management-interface-without-authentication-CVE-2022-22189?language=en_US

Bulletin de sécurité Juniper JSA69500 du 13 avril 2022

https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Paragon-Active-Assurance-Control-Center-Information-disclosure-vulnerability-in-crafted-URL-CVE-2022-22190?language=en_US

Bulletin de sécurité Juniper JSA69504 du 13 avril 2022

https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Juniper-Secure-Analytics-JSA-Series-Heap-Based-Buffer-Overflow-in-Sudo-CVE-2021-3156?language=en_US

Bulletin de sécurité Juniper JSA69506 du 13 avril 2022

https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Paragon-Active-Assurance-Local-Privilege-Escalation-in-polkits-pkexec-CVE-2021-4034?language=en_US

Bulletin de sécurité Juniper JSA69507 du 13 avril 2022

https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-vulnerabilities-resolved-in-Contrail-Networking-21-3-CVE-yyyy-nnnn?language=en_US

Bulletin de sécurité Juniper JSA69510 du 13 avril 2022

https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Networking-release-2011-L4?language=en_US

Référence CVE CVE-2014-9471

https://www.cve.org/CVERecord?id=CVE-2014-9471

Référence CVE CVE-2015-8315

https://www.cve.org/CVERecord?id=CVE-2015-8315

Référence CVE CVE-2015-8391

https://www.cve.org/CVERecord?id=CVE-2015-8391

Référence CVE CVE-2018-1000654

https://www.cve.org/CVERecord?id=CVE-2018-1000654

Référence CVE CVE-2019-1349

https://www.cve.org/CVERecord?id=CVE-2019-1349

Référence CVE CVE-2019-1350

https://www.cve.org/CVERecord?id=CVE-2019-1350

Référence CVE CVE-2019-1352

https://www.cve.org/CVERecord?id=CVE-2019-1352

Référence CVE CVE-2019-1354

https://www.cve.org/CVERecord?id=CVE-2019-1354

Référence CVE CVE-2019-1387

https://www.cve.org/CVERecord?id=CVE-2019-1387

Référence CVE CVE-2020-35654

https://www.cve.org/CVERecord?id=CVE-2020-35654

Référence CVE CVE-2020-7774

https://www.cve.org/CVERecord?id=CVE-2020-7774

Référence CVE CVE-2021-23017

https://www.cve.org/CVERecord?id=CVE-2021-23017

Référence CVE CVE-2021-25289

https://www.cve.org/CVERecord?id=CVE-2021-25289

Référence CVE CVE-2021-26691

https://www.cve.org/CVERecord?id=CVE-2021-26691

Référence CVE CVE-2021-3156

https://www.cve.org/CVERecord?id=CVE-2021-3156

Référence CVE CVE-2021-31597

https://www.cve.org/CVERecord?id=CVE-2021-31597

Référence CVE CVE-2021-34552

https://www.cve.org/CVERecord?id=CVE-2021-34552

Référence CVE CVE-2021-3517

https://www.cve.org/CVERecord?id=CVE-2021-3517

Référence CVE CVE-2021-3560

https://www.cve.org/CVERecord?id=CVE-2021-3560

Référence CVE CVE-2021-4034

https://www.cve.org/CVERecord?id=CVE-2021-4034

Référence CVE CVE-2022-22187

https://www.cve.org/CVERecord?id=CVE-2022-22187

Référence CVE CVE-2022-22189

https://www.cve.org/CVERecord?id=CVE-2022-22189

Référence CVE CVE-2022-22190

https://www.cve.org/CVERecord?id=CVE-2022-22190

Référence	CERTFR-2022-AVI-351
Titre	Multiples vulnérabilités dans les logiciels Juniper
Date de la première version	15 avril 2022
Date de la dernière version	15 avril 2022
Source(s)	Bulletin de sécurité Juniper JSA69495 du 13 avril 2022 Bulletin de sécurité Juniper JSA69498 du 13 avril 2022 Bulletin de sécurité Juniper JSA69500 du 13 avril 2022 Bulletin de sécurité Juniper JSA69504 du 13 avril 2022 Bulletin de sécurité Juniper JSA69506 du 13 avril 2022 Bulletin de sécurité Juniper JSA69507 du 13 avril 2022 Bulletin de sécurité Juniper JSA69510 du 13 avril 2022
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les logiciels Juniper

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document