Juniper: 225 Sicherheitslücken in Secure Analytics
Juniper Networks hat eine Aktualisierung für Secure Analytics herausgegeben. Sie stopft 225 Sicherheitslecks, einige davon gelten als kritisch.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Admins, die Juniper Networks Secure Analytics einsetzen, sollten möglichst schnell die jetzt bereitgestellte Aktualisierung herunterladen und anwenden. Der höchste Schweregrad der ausgebesserten Schwachstellen ist "kritisch", Juniper gibt einen CVSS-Wert von 9.8 an. Secure Analytics ist ein sogenanntes SIEM, also eine Software zur Überwachung der (Netzwerk-)Sicherheit und der Verwaltung von gegebenenfalls nötigen Reaktionen bei Ereignissen.
In einer Sicherheitsmitteilung listen Junipers Entwickler die geschlossenen Lücken auf. Auf insgesamt 225 Einträge kommt die zweigeteilte Liste. Einige CVE-Einträge deuten darauf, dass sehr alte Komponenten eingesetzt werden. Gleich der erste Listeneintrag verweist auf eine Schwachstelle aus dem Jahr 2007. Sie betrifft etwa ein Modul zum Verarbeiten von tar-Archiven in Python, mit mittlerem Schweregrad. Es finden sich jedoch auch mehrere aktuelle CVE-Einträge aus diesem Jahr.
Juniper: Update schließt den großen Schwung an Sicherheitslücken
Die Schwachstellen betreffen alle Juniper Secure Analytics-Versionen vor den Ständen 7.5.0 UP8 und 7.5.0 UP8 IF02, geben die Entwickler an. Zum Korrigieren der sicherheitsrelevanten Fehler ist demnach die Installation des Updates auf Fassung 7.5.0 UP8 IF03 oder neuere Versionen nötig.
Die Softwareaktualisierung soll im Download-Bereich des Juniper-Support-Portals verfügbar sein. Workarounds gebe es keine, schreibt Juniper in der Sicherheitsmitteilung – nachvollziehbar, temporäre Gegenmaßnahmen gegen 225 Sicherheitslücken lassen sich manuell nicht sinnvoll einrichten.
Zuletzt hatte Juniper Networks im Januar eine größere Anzahl an Sicherheitsmitteilungen veröffentlicht. Damals hatten 27 Security-Advisories zum Teil kritische Sicherheitslücken unter anderem in Junos OS, Junos OS Evolved und unterschiedlicher Hardware des Herstellers behandelt.
Zudem hatte Hewlett Packard Enterprise (HPE) im Januar den Netzwerkausrüster für rund 14 Milliarden US-Dollar übernommen. Offensichtliches Ziel davon ist, Cisco als Marktführer vom Thron zu stoßen.
(dmk)