2023-0082: Juniper Junos Space: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2023-01-12 15:20)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk

Betroffene Plattformen

Juniper

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-, Directory-Traversal- sowie verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei Schwachstellen kann ein Angreifer lokal ausnutzen, um Administratorrechte zu erlangen und seine Privilegien auf 'root' zu eskalieren.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Juniper veröffentlicht die Junos Space Version 22.3R1, um die aufgeführten Schwachstellen in vom Produkt verwendeten Drittanbieterkomponenten zu beheben. Die Schwachstellen werden von Juniper im Kontext des eigenen Produktes teilweise leicht anders bewertet, insgesamt stuft der Hersteller das Update allerdings als kritisch ein.

Schwachstellen:

CVE-2007-2285

Schwachstelle in Ext JS ermöglicht Directory-Traversal-Angriff

CVE-2018-8046

Schwachstelle in Ext JS ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-26116

Schwachstelle in Python ermöglicht Darstellen falscher Informationen

CVE-2020-26137

Schwachstelle in python-urllib3 ermöglicht Darstellen falscher Informationen

CVE-2021-3177

Schwachstelle in Python ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-1271

Schwachstelle in gzip und XZ Utils ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-1729

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2022-21540

Schwachstelle in Oracle Java SE ermöglicht Ausspähen von Informationen

CVE-2022-21541

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-21619

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-21624

Schwachstelle in Oracle Java SE ermöglicht Manipulation von Daten

CVE-2022-21626

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2022-21628

Schwachstelle in Oracle Java SE ermöglicht Denial-of-Service-Angriff

CVE-2022-2526

Schwachstelle in systemd ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2022-29154

Schwachstelle in rsync ermöglicht Manipulation von Dateien

CVE-2022-32250

Schwachstelle in Linux-Kernel ermöglicht Privilegieneskalation

CVE-2022-34169

Schwachstelle in Oracle Java SE ermöglicht u. a. Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.