2021-2598: Juniper Junos Space, Log4j: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-12-14 15:41)
- Neues Advisory
- Version 2 (2021-12-16 13:19)
- Juniper hat Security Bulletin JSA11259 um die Schwachstellen CVE-2021-4104 und CVE-2021-45046 ergänzt, durch welche ebenfalls das Ausführen beliebigen Programmcodes und zusätzlich ein Denial-of-Service (DoS)-Angriff möglich sind. Die Liste der betroffenen Produkte wurde ebenfalls ergänzt.
- Version 3 (2021-12-21 11:56)
- Juniper hat das Security Bulletin JSA11259 um die Schwachstelle CVE-2021-42550 in 'logback' ergänzt, welche einen Denial-of-Service (DoS)-Angriff ermöglicht, wenn der Angreifer in der Lage ist Konfigurationsdateien zu bearbeiten. Der Hersteller weist darauf hin, dass ein Angreifer mit dieser Berechtigung auch ohne die Schwachstelle beliebigen Programmcode ausführen könnte. Weiterhin wurde dem Workaround für Junos Space ein Upgrade-Schritt hinzugefügt, um die Schwachstelle CVE-2021-44228 auch bei aktiviertem OpenNMS zu beheben.
Betroffene Software
Entwicklung
Netzwerk
Betroffene Plattformen
Juniper
Beschreibung:
Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, indem er durch gezielte Interaktion mit Anwendungen, die auf Log4j zurückgreifen, speziell präparierte Log-Nachrichten oder Log-Nachrichten-Parameter auf betroffene Systeme bringt. Die Schwachstelle ist als 'Log4Shell' oder 'LogJam' bekannt.
Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle kann Einfluss auf andere Komponenten haben.
Juniper informiert über die Schwachstelle in Juniper Networks Junos Space Network Management Platform in den Versionen 21.1 und 22.2 und jeweils nachfolgenden, wenn OpenNMS aktiviert ist. Sicherheitsupdates stehen zur Zeit noch nicht zur Verfügung, es wird aber ein Workaround beschrieben.
Schwachstellen:
CVE-2021-4104
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-42550
Schwachstelle in logback ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-44228
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-45046
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.