Multiples vulnérabilités dans les produits Juniper Networks

Gestion du document

Référence	CERTFR-2024-AVI-0525
Titre	Multiples vulnérabilités dans les produits Juniper Networks
Date de la première version	28 juin 2024
Date de la dernière version	28 juin 2024
Source(s)	Bulletin de sécurité Juniper Networks du 27 juin 2024
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Systèmes affectés

Session Smart Router et Session Smart Conductor versions 6.2.x antérieures à 6.2.5-sts
Session Smart Router et Session Smart Conductor versions 6.x antérieures à 6.1.9-lts
Session Smart Router et Session Smart Conductor versions antérieures à 5.6.15
WAN Assurance Router versions 6.2.x antérieures à 6.2.5-sts
WAN Assurance Router versions 6.x antérieures à 6.1.9-lts

L'éditeur indique que seuls les équipements configurés en mode haute disponibilité sont affectés.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Juniper Networks. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Juniper Networks du 27 juin 2024

https://supportportal.juniper.net/s/article/2024-06-Out-Of-Cycle-Security-Bulletin-Session-Smart-Router-SSR-On-redundant-router-deployments-API-authentication-can-be-bypassed-CVE-2024-2973

Référence CVE CVE-2024-2973

https://www.cve.org/CVERecord?id=CVE-2024-2973

Avis du CERT-FR