Großpatchtag bei Juniper: Viele Security-Update für Junos OS und Co.
Der Netzwerkausrüster Juniper hat Admins gleich eine ganze Reihe von Patches ins Osternest gelegt. Die Security-Updates schließen Lücken, durch die ein Angreifer schlimmstenfalls beliebige Befehle einschleusen kann.
(Bild: Juniper)
- Ronald Eikenberg
Kurz vor Ostern sicher der Netzwerkausrüster Juniper seine Produktpalette mit einer Reihe von Patches ab, die Lücken unter anderem im Router-Betriebssystem JunOS schließen. Die meisten Schwachstellen erlauben eine Denial-of-Service, in einigen Fällen kann sich ein Angreifer aber auch höhere Rechte verschaffen oder gar Code einschleusen.
Lücken in Junos OS
Juniper hat in JunOS unter anderem eine Lücke im Tastaturtreiber geschlossen, durch die ein Angreifer mit physischem Zugriff beliebigen Code mit Kernel-Rechten ausführen kann. Eine weitere geschlossene Lücke sorgt nach einem schädlichen ICMPv6-Paket für einen Absturz. Der Routing-Process-Daemon (rpd) von JunOS ließ sich bisher durch speziell präparierte BGP-UPDATE-Pakete aus dem Konzept bringen. Auch dagegen gibt es von Juniper ein Heilmittel. Ebenfalls abgehärtet wurden der NTP-Daemon und die LDP-Implementierung von JunOS.
Produktspezifische Schwachstellen
Bei den SRX-Firewalls, dem virtuellen Pendant vSRX und den Routern der J-Serie hat Juniper insgesamt fünf DoS-Lücken im DNS-Server BIND geschlossen. Router der Serien M und MX können über IPv6-Pakete zum Absturz gebracht werden, für Abhilfe sorgt ein Update. Die Switches der EX-Serie sind darüber hinaus über IPv6 für speziell präparierte Neighbor-Discovery-Pakete (NDP) anfällig, sofern man sie nicht auf den aktuellen Stand bring.
Umfangreich fällt dass Update für die NorthStar Controller Application: Juniper musste diverse Schwachstellen im eigenen Code und in Komponenten Dritter beseitigen – darunter BIND, Xen, Node.js und QEMU. Einige der Lücken lassen sich zum Einschleusen von Befehlen missbrauchen.
Wer Komponenten von Juniper administriert, sollte diese umgehend auf den aktuellen Patch-Stand bringen. Genauere Angaben zu betroffenen und abgesicherten Versionsnummern finden sich in den oben verlinkten Advisories. Zum Teil bietet der Hersteller auch Workarounds an, für den Fall, dass man die aktuelle Software-Version derzeit nicht einspielen kann oder möchte. (rei)
