2025-0933: Juniper Junos Space: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-04-10 15:53)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Betroffene Plattformen
Juniper
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer kann eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Privilegien zu eskalieren. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Juniper veröffentlicht die Junos Space Version 24.1R3, um die aufgeführten Schwachstellen in vom Produkt verwendeten Drittanbieterkomponenten zu beheben. Die Schwachstellen werden von Juniper im Kontext des eigenen Produktes teilweise leicht anders bewertet, insgesamt stuft der Hersteller das Update allerdings als schwerwiegend ein.
Aufgrund der Umstrukturierung der CVE-Vergabe im Linux-Kernel gibt es ein stark erhöhtes Aufkommen von Linux-Schwachstellen. Dies liegt daran, dass wesentlich mehr Patches als Schwachstellen registriert werden, und bedeutet nicht, dass der Kernel tatsächlich angreifbarer wurde. In den Schwachstelleninformationen des DFN-CERT werden deshalb, bei umfangreicheren Kernel-Updates wie diesem, nur noch bis zu 10 der schwerwiegendsten behobenen Schwachstellen beschrieben. Kritische Schwachstellen werden immer beschrieben. In den Referenzen befinden sich nur noch die NVD-Einträge der von uns beschriebenen Schwachstellen. Eine vollständige Liste aller behobenen Schwachstellen findet sich im Hersteller-Advisory in den Referenzen.
Schwachstellen:
CVE-2011-1473
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2011-5094
Schwachstelle in Network Security Services (NSS) ermöglicht Denial-of-Service-AngriffCVE-2019-7611
Schwachstelle in Elasticsearch ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2020-7020
Schwachstelle in Elasticsearch ermöglicht Ausspähen von InformationenCVE-2020-7021
Schwachstelle in Elasticsearch ermöglicht Ausspähen von InformationenCVE-2021-22135
Schwachstelle in Elasticsearch ermöglicht Ausspähen von InformationenCVE-2021-22137
Schwachstelle in Elasticsearch ermöglicht Ausspähen von InformationenCVE-2021-22144
Schwachstelle in Elasticsearch ermöglicht Denial-of-Service-AngriffCVE-2021-47596
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-24808
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2022-39253
Schwachstelle in Git ermöglicht Manipulation von DateienCVE-2023-28746
Schwachstelle in Intel Atom-Prozessoren ermöglicht Ausspähen von InformationenCVE-2023-48161
Schwachstelle in GIFLIB ermöglicht u. a. Ausspähen von InformationenCVE-2023-6597
Schwachstelle in Python ermöglicht PrivilegieneskalationCVE-2024-0450
Schwachstelle in CPython ermöglicht Denial-of-Service-AngriffCVE-2024-1737
Schwachstelle in ISC BIND ermöglicht Denial-of-Service-AngriffCVE-2024-1975
Schwachstelle in ISC BIND ermöglicht Denial-of-Service-AngriffCVE-2024-21208
Schwachstelle in Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM ermöglicht Denial-of-Service-AngriffCVE-2024-21210
Schwachstelle in Oracle Java SE ermöglicht Manipulation von DatenCVE-2024-21217
Schwachstelle in Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM ermöglicht Denial-of-Service-AngriffCVE-2024-21235
Schwachstelle in Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM ermöglicht u. a. Manipulation von DatenCVE-2024-21823
Schwachstelle in Intel Xeon Prozessoren und Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-23271
Schwachstelle in WebKit ermöglicht nicht spezifizierte AngriffeCVE-2024-26735
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-26852
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-27052
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2024-27820
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-27838
Schwachstelle in WebKit ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-27851
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-28182
Schwachstelle in nghttp2 ermöglicht Denial-of-Service-AngriffCVE-2024-2961
Schwachstelle in GNU Lib C ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-32002
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-32004
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-32020
Schwachstelle in Git ermöglicht Manipulation von DateienCVE-2024-32021
Schwachstelle in Git ermöglicht Manipulation von DateienCVE-2024-32465
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-33599
Schwachstelle in GNU Lib C ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2024-33600
Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-AngriffCVE-2024-33601
Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-AngriffCVE-2024-33602
Schwachstelle in GNU Lib C ermöglicht Denial-of-Service-AngriffCVE-2024-3651
Schwachstelle in python idna ermöglicht Denial-of-Service-AngriffCVE-2024-3652
Schwachstelle in Libreswan ermöglicht Denial-of-Service-AngriffCVE-2024-36971
Schwachstelle im Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-39487
Schwachstelle in Linux-Kernel ermöglicht eventuell PrivilegieneskalationCVE-2024-4076
Schwachstelle in ISC BIND ermöglicht Denial-of-Service-AngriffCVE-2024-40782
Schwachstelle in Webkit ermöglicht Denial-of-Service-AngriffCVE-2024-40789
Schwachstelle in WebKit ermöglicht Denial-of-Service-AngriffCVE-2024-40866
Schwachstelle in WebKit ermöglicht Darstellen falscher InformationenCVE-2024-40954
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-42284
Schwachstelle in Linux-Kernel ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2024-42472
Schwachstelle in Flatpak ermöglicht PrivilegieneskalationCVE-2024-44187
Schwachstelle in WebKit ermöglicht Ausspähen von InformationenCVE-2024-6232
Schwachstelle in CPython ermöglicht Denial-of-Service-AngriffCVE-2024-7006
Schwachstelle in LibTIFF ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.