2022-0074: Juniper Junos Space: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-01-13 10:38)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk

Betroffene Plattformen

Juniper

Beschreibung:

In Juniper Junos Space existieren mehrere Schwachstellen aufgrund der Verwendung der Drittanbieter-Komponenten LZ4, jQuery, Apache HTTP Server und Log4j, QEMU, ISC BIND und DHCP, Samba, curl, Oracle Java SE, GraalVM und MySQL, GNOME GLib, X.org libX11, Kernel-based Virtual Machine (KVM), logback und Linux-Kernel. Mehrere weitere Schwachstellen existieren in der Mikroarchitektur von Intel-Prozessoren, dem Intel-Grafiktreiber, Intel Microcode und der Intel Prozessor Firmware.

Ein Angreifer kann diese Schwachstellen aus der Ferne oder lokal ausnutzen, um Privilegien zu eskalieren teilweise bis hin zu Administratorrechten, Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auch mit erweiterten Berechtigungen auszuführen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer aus der Ferne hat außerdem die Möglichkeit, falsche Informationen darzustellen und über die DHCP-Schwachstelle ist das Bewirken eines Denial-of-Service (DoS)-Zustandes einem Angreifer im benachbarten Netzwerk möglich.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Juniper veröffentlicht die Junos Space Version 21.3R1 als Sicherheitsupdate und behebt damit die aufgeführten Schwachstellen über Upgrades der Drittanbieter-Komponenten. Zu den schwerwiegendsten mit diesem Release behobenen Schwachstellen zählt die als Log4Shell bekannte Schwachstelle CVE-2021-44228 in Apache Log4j. Das Sicherheitsupdate wird von Juniper entsprechend als 'kritisch' eingestuft.

Schwachstellen:

CVE-2019-17543

Schwachstelle in LZ4 ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-20934

Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-0543

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-0548

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-0549

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-11022

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11023

Schwachstelle in jQuery ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-11668

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-11984

Schwachstelle in Apache HTTP Server ermöglicht u. a. Ausspähen von Informationen

CVE-2020-11993

Schwachstelle in Apache HTTP Server ermöglicht Denial-of-Service-Angriff

CVE-2020-12362

Schwachstelle in Intel-Grafiktreiber ermöglicht Privilegieneskalation

CVE-2020-12363

Schwachstelle in Intel-Grafiktreiber ermöglicht Denial-of-Service-Angriff

CVE-2020-12364

Schwachstelle in Intel-Grafiktreiber ermöglicht Denial-of-Service-Angriff

CVE-2020-1927

Schwachstelle in Apache HTTP Server ermöglicht Darstellen falscher Informationen

CVE-2020-1934

Schwachstelle in Apache HTTP Server ermöglicht Ausspähen von Informationen

CVE-2020-24489

Schwachstelle in Intel Microcode ermöglicht Privilegieneskalation

CVE-2020-24511

Schwachstelle in Intel Microcode und Intel Prozessor Firmware ermöglicht Ausspähen von Informationen

CVE-2020-24512

Schwachstelle in Intel Microcode und Intel Prozessor Firmware ermöglicht Ausspähen von Informationen

CVE-2020-27170

Schwachstelle in Linux-Kernel ermöglicht Ausspähen von Informationen

CVE-2020-27777

Schwachstelle in Linux-Kernel ermöglicht Beeinträchtigung der Systemintegrität

CVE-2020-29443

Schwachstelle in QEMU ermöglicht u. a. Ausspähen von Informationen

CVE-2020-8625

Schwachstelle in ISC BIND ermöglicht u. a. einen Denial-of-Service-Angriff

CVE-2020-8648

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-8695

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-8696

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-8698

Schwachstelle in Mikroarchitektur von Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2020-9490

Schwachstelle in Apache HTTP Server ermöglicht Denial-of-Service-Angriff

CVE-2021-20254

Schwachstelle in Samba ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-22555

Schwachstelle in Linux-Kernel ermöglicht u. a. Privilegieneskalation

CVE-2021-22901

Schwachstelle in curl ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-2341

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Ausspähen von Informationen

CVE-2021-2342

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2356

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-2369

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Manipulation von Daten

CVE-2021-2372

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2385

Schwachstelle in Oracle MySQL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-2388

Schwachstelle in Oracle Java SE und GraalVM Enterprise Edition ermöglicht Kompromittierung der Software

CVE-2021-2389

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-2390

Schwachstelle in Oracle MySQL ermöglicht Denial-of-Service-Angriff

CVE-2021-25214

Schwachstelle in ISC BIND ermöglicht Denial-of-Service-Angriff

CVE-2021-25217

Schwachstelle in ISC DHCP ermöglicht Denial-of-Service-Angriff

CVE-2021-27219

Schwachstelle in GNOME GLib ermöglicht Denial-of-Service-Angriff

CVE-2021-29154

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes mit Kernel-Rechten

CVE-2021-29650

Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-Angriff

CVE-2021-31535

Schwachstelle in Xlib (libX11) ermöglicht Erlangen von Administratorrechten

CVE-2021-32399

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2021-33033

Schwachstelle in Linux-Kernel ermöglicht Manipulation von Dateien

CVE-2021-33034

Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3347

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-33909

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2021-3653

Schwachstelle in Kernel-based Virtual Machine (KVM) ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3656

Schwachstelle in Kernel-based Virtual Machine (KVM) ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3715

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2021-37576

Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-4104

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-42550

Schwachstelle in logback ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-44228

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45046

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.