Juniper dichtet teils kritische Sicherheitslücken ab
Der Netzwerkausrüster Juniper hat 17 Sicherheitsmeldungen zu teils kritischen Lücken veröffentlicht. Updates zum Schließen stehen bereit.
(Bild: momente/Shutterstock.com)
Netzwerkausrüster Juniper hat Sicherheitsmeldungen zu zahlreichen Lücken in unterschiedlichen Geräten und Betriebssystemen veröffentlicht. Updates stehen bereit, um teils kritische Sicherheitslücken in betroffenen Geräten zu stopfen. IT-Verantwortliche sollten sie zügig anwenden.
Juniper beschreibt in einer Sicherheitsmeldung zu Contrail Cloud, dass mehrere Schwachstellen in Drittanbieter-Software, die Contrail Cloud nutzen, mit der Version 16.3.0 ausgebessert werden. Dazu gehören Bibliotheken wie jQuery, Openstack Neutron oder auch Prozessor-Schwachstellen, die das unbefugte Auslesen von Informationen ermöglichen. Die höchste Einstufung der Lücken erreicht einen CVSS-Wert von 10, also dem höchstmöglichen, kritischen Risiko.
Juniper-Lücken: Dritthersteller-Module mit kritischem Risiko
In Junos OS J-Web reißt die mitgelieferte PHP-Software Lücken, die mit CVSS-Einstufung 9.8 bis zu kritischem Risiko reichen. Mit einem CVSS-Wert von 8.8 schrammt Junos Space nur ganz knapp an einem kritischen Bedrohungsgrad vorbei. Auch in dieser Software reißen Dritthersteller-Komponenten die Sicherheitslecks auf.
Insgesamt beschreibt Juniper in 17 Sicherheitsmeldungen zwei kritische Lücken, sieben mit hohem Risiko sowie acht mit mittlerem Bedrohungsgrad. Die Sicherheitslücken im Einzelnen:
Contrail Cloud: Multiple Vulnerabilities have been resolved in Contrail Cloud release 16.3.0, CVSS 10.0, Risiko "kritisch"
Junos OS: J-Web: Multiple Vulnerabilities in PHP software, CVSS 9.8, kritisch
Junos Space: Multiple vulnerabilities resolved in 23.1R1, CVSS 8.8, hoch
Junos OS and Junos OS Evolved: Multiple vulnerabilities have been resolved in MQTT, CVSS 7.5, hoch
Junos OS: QFX10000 Series: All traffic will be dropped, CVSS 7.5, hoch
Junos OS Evolved: Multiple NTP vulnerabilities resolved, CVSS 7.5, hoch
Junos OS: MX Series: PFE crash, CVSS 7.5, hoch
SRX Series and MX Series: An FPC core is observed, CVSS 7.5, hoch
Junos OS: SRX Series: jbuf memory leak, CVSS 7.5, hoch
Junos OS: MX Series: The FPC will crash, CVSS 6.5, mittel
Junos OS Evolved: PTX10001-36MR, and PTX10004, PTX10008, PTX10016 with LC1201/1202, CVSS 6.5, mittel
Junos OS: MX Series: An MPC will crash, CVSS 6.5, mittel
Junos OS: SRX 4600 and SRX 5000 Series, CVSS 6.5, mittel
Junos OS and Junos OS Evolved: The l2cpd will crash, CVSS 6.5, mittel
Junos OS and Junos OS Evolved: An rpd crash, CVSS 5.5, mittel
Junos OS: SRX Series: A flowd core occurs, CVSS 5.5, mittel
Junos OS and Junos OS Evolved: In a MoFRR scenario an rpd core may be observed, CVSS 4.7, mittel
IT-Verantwortliche sollten die bereitstehenden Aktualisierungen oder gegebenenfalls temporäre Gegenmaßnahmen zügig anwenden und umsetzen. Die Gefahr einer Cyber-Attacke ist aufgrund der teils kritischen Sicherheitslücken in den Netzwerkgeräten recht hoch.
Vor rund einem Monat hatte Juniper bereits Sicherheitsupdates für Geräte mit Junos OS und Junos OS Evolved herausgegeben. Die Schwachstellen erlaubten Angreifern, betroffene Geräte mittels Denial-of-Service-Angriff lahmzulegen.
(dmk)
