Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 septembre 2024

N° CERTFR-2024-AVI-0781

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Juniper Networks

Gestion du document

Référence	CERTFR-2024-AVI-0781
Titre	Multiples vulnérabilités dans les produits Juniper Networks
Date de la première version	16 septembre 2024
Date de la dernière version	15 octobre 2024
Source(s)	Bulletin de sécurité Juniper Networks JSA75746 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA75750 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA75756 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA75759 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA79101 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA79175 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA82971 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA82973 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA82974 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA82975 du 13 septembre 2024 Bulletin de sécurité Juniper Networks JSA82977 du 13 septembre 2024
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire
Élévation de privilèges

Systèmes affectés

BBE Cloudsetup versions antérieures à 2.1.0
Junos OS Evolved versions antérieures à 20.4R3-S7-EVO, 21.2R3-S7-EVO, 21.2R3-S8-EVO, 21.3R3-S5-EVO, 21.4R3-S5-EVO, 21.4R3-S7-EVO, 22.1R3-S4-EVO, 22.1R3-S5-EVO, 22.2R3-EVO, 22.2R3-S2-EVO, 22.2R3-S3-EVO, 22.2R3-S4-EVO, 22.3R2-EVO, 22.3R2-S2-EVO, 22.3R3-S1-EVO, 22.3R3-S2-EVO, 22.3R3-S3-EVO, 22.4R2-EVO, 22.4R3-EVO, 22.4R3-S1-EVO, 22.4R3-S2-EVO, 23.2R1-EVO, 23.2R1-S2-EVO, 23.2R2-EVO, 23.2R2-S1-EVO, 23.4R1-EVO, 23.4R1-S1-EVO, 23.4R2-EVO et 24.2R1-EVO
Junos OS versions antérieures à 20.4R3-S9, 21.2R3-S6, 21.2R3-S7, 21.2R3-S8, 21.3R3-S5, 21.4R3-S4, 21.4R3-S5, 21.4R3-S7, 22.1R3-S3, 22.1R3-S4, 22.1R3-S5, 22.2R3-S2, 22.2R3-S3, 22.2R3-S4, 22.3R2-S2, 22.3R3, 22.3R3-S1, 22.3R3-S2, 22.3R3-S3, 22.4R2-S2, 22.4R3, 22.4R3-S2, 23.2R1-S1, 23.2R1-S2, 23.2R2, 23.4R1, 23.4R1-S1, 23.4R2 et 24.2R1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Juniper Networks. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et un déni de service à distance.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Juniper Networks JSA75746 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-04-Security-Bulletin-Junos-OS-SRX-300-Series-Specific-link-local-traffic-causes-a-control-plane-overload-CVE-2024-21605

Bulletin de sécurité Juniper Networks JSA75750 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-04-Security-Bulletin-Junos-OS-MX-Series-with-SPC3-and-SRX-Series-If-specific-IPsec-parameters-are-negotiated-iked-will-crash-due-to-a-memory-leak-CVE-2024-21609

Bulletin de sécurité Juniper Networks JSA75756 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-04-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-A-low-privileged-user-can-access-confidential-information-CVE-2024-21615

Bulletin de sécurité Juniper Networks JSA75759 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-04-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-When-LLDP-is-enabled-and-a-malformed-LLDP-packet-is-received-l2cpd-crashes-CVE-2024-21618

Bulletin de sécurité Juniper Networks JSA79101 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-07-Security-Bulletin-Junos-OS-Evolved-Receipt-of-arbitrary-data-when-sampling-service-is-enabled-leads-to-partial-Denial-of-Service-DoS-CVE-2024-39553

Bulletin de sécurité Juniper Networks JSA79175 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-07-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Upon-processing-specific-L2-traffic-rpd-can-hang-in-devices-with-EVPN-VXLAN-configured-CVE-2024-39517

Bulletin de sécurité Juniper Networks JSA82971 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-07-Security-Bulletin-BBE-Cloudsetup-Multiple-vulnerabilities-resolved-in-2-1-0-release

Bulletin de sécurité Juniper Networks JSA82973 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-07-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Multiple-vulnerabilities-resolved-in-net-SNMP-5-9-4

Bulletin de sécurité Juniper Networks JSA82974 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-07-Security-Bulletin-Junos-OS-Evolved-Multiple-vulnerabilities-resolved-in-OpenSSL-3-0-12

Bulletin de sécurité Juniper Networks JSA82975 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-07-Security-Bulletin-Junos-OS-Evolved-Multiple-CLI-parameter-processing-issues-allowing-privilege-escalation-resolved

Bulletin de sécurité Juniper Networks JSA82977 du 13 septembre 2024

https://supportportal.juniper.net/s/article/2024-07-Security-Bulletin-Junos-OS-Evolved-User-is-not-logged-out-when-the-console-cable-is-disconnected-CVE-2024-39512

Référence CVE CVE-2007-5846

https://www.cve.org/CVERecord?id=CVE-2007-5846

Référence CVE CVE-2008-6123

https://www.cve.org/CVERecord?id=CVE-2008-6123

Référence CVE CVE-2012-6151

https://www.cve.org/CVERecord?id=CVE-2012-6151

Référence CVE CVE-2014-2285

https://www.cve.org/CVERecord?id=CVE-2014-2285

Référence CVE CVE-2014-2310

https://www.cve.org/CVERecord?id=CVE-2014-2310

Référence CVE CVE-2014-3565

https://www.cve.org/CVERecord?id=CVE-2014-3565

Référence CVE CVE-2015-5621

https://www.cve.org/CVERecord?id=CVE-2015-5621

Référence CVE CVE-2015-8100

https://www.cve.org/CVERecord?id=CVE-2015-8100

Référence CVE CVE-2018-18065

https://www.cve.org/CVERecord?id=CVE-2018-18065

Référence CVE CVE-2019-20892

https://www.cve.org/CVERecord?id=CVE-2019-20892

Référence CVE CVE-2020-15861

https://www.cve.org/CVERecord?id=CVE-2020-15861

Référence CVE CVE-2020-15862

https://www.cve.org/CVERecord?id=CVE-2020-15862

Référence CVE CVE-2021-25745

https://www.cve.org/CVERecord?id=CVE-2021-25745

Référence CVE CVE-2021-25746

https://www.cve.org/CVERecord?id=CVE-2021-25746

Référence CVE CVE-2021-25748

https://www.cve.org/CVERecord?id=CVE-2021-25748

Référence CVE CVE-2021-44225

https://www.cve.org/CVERecord?id=CVE-2021-44225

Référence CVE CVE-2022-23471

https://www.cve.org/CVERecord?id=CVE-2022-23471

Référence CVE CVE-2022-23524

https://www.cve.org/CVERecord?id=CVE-2022-23524

Référence CVE CVE-2022-23525

https://www.cve.org/CVERecord?id=CVE-2022-23525

Référence CVE CVE-2022-23526

https://www.cve.org/CVERecord?id=CVE-2022-23526

Référence CVE CVE-2022-4203

https://www.cve.org/CVERecord?id=CVE-2022-4203

Référence CVE CVE-2022-4304

https://www.cve.org/CVERecord?id=CVE-2022-4304

Référence CVE CVE-2022-4450

https://www.cve.org/CVERecord?id=CVE-2022-4450

Référence CVE CVE-2022-4886

https://www.cve.org/CVERecord?id=CVE-2022-4886

Référence CVE CVE-2023-0215

https://www.cve.org/CVERecord?id=CVE-2023-0215

Référence CVE CVE-2023-0216

https://www.cve.org/CVERecord?id=CVE-2023-0216

Référence CVE CVE-2023-0217

https://www.cve.org/CVERecord?id=CVE-2023-0217

Référence CVE CVE-2023-0286

https://www.cve.org/CVERecord?id=CVE-2023-0286

Référence CVE CVE-2023-0401

https://www.cve.org/CVERecord?id=CVE-2023-0401

Référence CVE CVE-2023-0464

https://www.cve.org/CVERecord?id=CVE-2023-0464

Référence CVE CVE-2023-0465

https://www.cve.org/CVERecord?id=CVE-2023-0465

Référence CVE CVE-2023-0466

https://www.cve.org/CVERecord?id=CVE-2023-0466

Référence CVE CVE-2023-1255

https://www.cve.org/CVERecord?id=CVE-2023-1255

Référence CVE CVE-2023-25153

https://www.cve.org/CVERecord?id=CVE-2023-25153

Référence CVE CVE-2023-25173

https://www.cve.org/CVERecord?id=CVE-2023-25173

Référence CVE CVE-2023-28840

https://www.cve.org/CVERecord?id=CVE-2023-28840

Référence CVE CVE-2023-28841

https://www.cve.org/CVERecord?id=CVE-2023-28841

Référence CVE CVE-2023-28842

https://www.cve.org/CVERecord?id=CVE-2023-28842

Référence CVE CVE-2023-2975

https://www.cve.org/CVERecord?id=CVE-2023-2975

Référence CVE CVE-2023-32732

https://www.cve.org/CVERecord?id=CVE-2023-32732

Référence CVE CVE-2023-33953

https://www.cve.org/CVERecord?id=CVE-2023-33953

Référence CVE CVE-2023-3446

https://www.cve.org/CVERecord?id=CVE-2023-3446

Référence CVE CVE-2023-3817

https://www.cve.org/CVERecord?id=CVE-2023-3817

Référence CVE CVE-2023-4785

https://www.cve.org/CVERecord?id=CVE-2023-4785

Référence CVE CVE-2023-4807

https://www.cve.org/CVERecord?id=CVE-2023-4807

Référence CVE CVE-2023-5043

https://www.cve.org/CVERecord?id=CVE-2023-5043

Référence CVE CVE-2023-5363

https://www.cve.org/CVERecord?id=CVE-2023-5363

Référence CVE CVE-2024-21605

https://www.cve.org/CVERecord?id=CVE-2024-21605

Référence CVE CVE-2024-21609

https://www.cve.org/CVERecord?id=CVE-2024-21609

Référence CVE CVE-2024-21615

https://www.cve.org/CVERecord?id=CVE-2024-21615

Référence CVE CVE-2024-21618

https://www.cve.org/CVERecord?id=CVE-2024-21618

Référence CVE CVE-2024-39512

https://www.cve.org/CVERecord?id=CVE-2024-39512

Référence CVE CVE-2024-39517

https://www.cve.org/CVERecord?id=CVE-2024-39517

Référence CVE CVE-2024-39520

https://www.cve.org/CVERecord?id=CVE-2024-39520

Référence CVE CVE-2024-39521

https://www.cve.org/CVERecord?id=CVE-2024-39521

Référence CVE CVE-2024-39522

https://www.cve.org/CVERecord?id=CVE-2024-39522

Référence CVE CVE-2024-39523

https://www.cve.org/CVERecord?id=CVE-2024-39523

Référence CVE CVE-2024-39524

https://www.cve.org/CVERecord?id=CVE-2024-39524

Référence CVE CVE-2024-39553

https://www.cve.org/CVERecord?id=CVE-2024-39553

Gestion détaillée du document

le 16 septembre 2024: Version initiale
le 15 octobre 2024: Correction d'identifiants CVE erronés