Multiples vulnérabilités dans les produits Juniper

Risque(s)

Déni de service à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Élévation de privilèges
Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

Produits NFX, Junos OS versions antérieures à 18.2R1, 18.2X75-D5
Produits CTP, CTPView versions antérieures à 7.3R6
Produits EX, Junos OS versions antérieures à 12.3R12-S15
Produits SRX
- Junos OS versions antérieures à 12.3X48-D80, 15.1X49-D120, 15.1X49-D150, 15.1X49-D171, 15.1X49-D180, à partir de la version 18.2R2-S1 et antérieures à 18.2R3, 18.4R2, ainsi que les versions antérieures à 18.2R3, 19.2R1 pour la série SRX 5000
- Junos OS avec J-Web activé versions antérieures à 12.3X48-D85, 15.1X49-D180
- Junos OS avec SIP ALG activé versions antérieures à 12.3X48-D61, 12.3X48-D65, 15.1X49-D130, 17.3R3, 17.4R2
Produits MX
- Junos OS gamme MX480, MX960, MX2008, MX2010, MX2020 versions antérieures à 18.1R2-S4, 18.1R3-S5, 18.1X75-D10 et ultérieures, versions antérieures à 18.2R1-S5, 18.2R2-S3, 18.2R3, 18.2X75-D50, 18.3R1-S4, 18.3R2, 18.3R3, 18.4R1-S2, 18.4R2
- Junos OS avec DHCPv6 activé versions antérieures à 15.1R7-S5, 16.1R7-S5, 16.2R2-S10, 17.1R3-S1, 17.2R3-S2, 17.3R3-S6, 17.4R2-S5, 17.4R3, 18.1R3-S6, 18.2R2-S4, 18.2R3, 18.2X75-D50, 18.3R1-S5, 18.3R3, 18.4R2, 19.1R1-S2, 19.1R2
- Junos OS avec cartes MS-PIC, MS-MIC ou MS-MPC et activation de NAT et SIP ALG, versions antérieures 16.1R7-S5, 16.2R2-S11, 17.1R3, 17.2R3-S3, 17.3R3-S6, 17.4R2-S8, 17.4R3, 18.1R3-S3, 18.2R3, 18.3R2, 18.4R
Toutes séries
- Junos OS versions antérieures à 15.1F6-S12, 15.1R7-S2, 15.1X49-D171, 15.1X49-D180, 15.1X53-D235, 15.1X53-D495, 15.1X53-D590, 15.1X53-D496, 15.1X53-D68, 15.1X53-D69, 16.1R3-S10, 16.1R4-S12, 16.1R6-S6, 16.1R7-S2, 16.2R2-S7, 17.1R3, 17.2R1-S7, 17.2R2-S6, 17.2R3, 17.2R3-S1, 17.3R2-S4, 17.3R3, 17.3R3-S4, 17.4R1-S6, 17.4R1-S7, 17.4R2-S3, 17.4R3, 18.1R2-S4, 18.1R3-S1, 18.1X75, 18.2R1-S5, 18.2R2-S2, 18.2R3, 18.3R1-S3, 18.3R2, 18.4R1-S2, 18.4R2
- Junos OS avec J-Web activé versions antérieures à 14.1X53-D51, 15.1F6-S13, 15.1R7-S5, 15.1X53-D238, 16.1R4-S13, 16.1R7-S5, 16.2R2-S10, 17.1R3-S1, 17.2R2-S8, 17.2R3-S3, 17.3R3-S5, 17.4R2-S8, 17.4R3, 18.1R3-S8, 18.2R3, 18.3R3, 18.4R2, 19.1R1-S2, 19.1R2
- Junos OS sur des équipements avec l'option Multi-Chassis Link Aggregation Group (MC-LAG) activée, versions ultérieures à 15.1 et antérieures à 16.1R6-S2, 16.1R7, 16.2R2-S10, 17.1R3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Juniper. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Juniper JSA10952 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10952&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10953 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10953&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10954 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10954&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10955 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10955&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10956 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10956&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10957 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10957&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10958 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10958&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10959 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10959&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10960 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10960&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10961 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10961&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10962 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10962&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10963 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10963&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10964 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10964&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10965 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10965&cat=SIRT_1&actp=LIST
Bulletin de sécurité Juniper JSA10966 du 10 octobre 2019
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10966&cat=SIRT_1&actp=LIST
Référence CVE CVE-2015-8325
https://www.cve.org/CVERecord?id=CVE-2015-8325
Référence CVE CVE-2016-10009
https://www.cve.org/CVERecord?id=CVE-2016-10009
Référence CVE CVE-2016-10010
https://www.cve.org/CVERecord?id=CVE-2016-10010
Référence CVE CVE-2016-10011
https://www.cve.org/CVERecord?id=CVE-2016-10011
Référence CVE CVE-2016-10012
https://www.cve.org/CVERecord?id=CVE-2016-10012
Référence CVE CVE-2018-20685
https://www.cve.org/CVERecord?id=CVE-2018-20685
Référence CVE CVE-2019-0054
https://www.cve.org/CVERecord?id=CVE-2019-0054
Référence CVE CVE-2019-0055
https://www.cve.org/CVERecord?id=CVE-2019-0055
Référence CVE CVE-2019-0056
https://www.cve.org/CVERecord?id=CVE-2019-0056
Référence CVE CVE-2019-0057
https://www.cve.org/CVERecord?id=CVE-2019-0057
Référence CVE CVE-2019-0058
https://www.cve.org/CVERecord?id=CVE-2019-0058
Référence CVE CVE-2019-0059
https://www.cve.org/CVERecord?id=CVE-2019-0059
Référence CVE CVE-2019-0060
https://www.cve.org/CVERecord?id=CVE-2019-0060
Référence CVE CVE-2019-0061
https://www.cve.org/CVERecord?id=CVE-2019-0061
Référence CVE CVE-2019-0062
https://www.cve.org/CVERecord?id=CVE-2019-0062
Référence CVE CVE-2019-0063
https://www.cve.org/CVERecord?id=CVE-2019-0063
Référence CVE CVE-2019-0064
https://www.cve.org/CVERecord?id=CVE-2019-0064
Référence CVE CVE-2019-0065
https://www.cve.org/CVERecord?id=CVE-2019-0065
Référence CVE CVE-2019-0066
https://www.cve.org/CVERecord?id=CVE-2019-0066
Référence CVE CVE-2019-0067
https://www.cve.org/CVERecord?id=CVE-2019-0067

Référence	CERTFR-2019-AVI-500
Titre	Multiples vulnérabilités dans les produits Juniper
Date de la première version	10 octobre 2019
Date de la dernière version	10 octobre 2019
Source(s)	Bulletin de sécurité Juniper JSA10952 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10953 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10954 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10955 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10956 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10957 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10958 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10959 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10960 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10961 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10962 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10963 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10964 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10965 du 10 octobre 2019 Bulletin de sécurité Juniper JSA10966 du 10 octobre 2019
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Juniper

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document