2025-2802: Juniper Junos Space: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-10-09 15:53)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Betroffene Plattformen
Juniper
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, Cross-Site-Scripting (XSS)-Angriffe durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des Administrators auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des betroffenen Dienstes auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine weitere Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Juniper veröffentlicht die Junos Space und Junos Space Security Director Version 24.1R4, um die aufgeführten Schwachstellen in der Software sowie in vom Produkt verwendeten Drittanbieterkomponenten zu beheben. Die Schwachstellen werden von Juniper im Kontext des eigenen Produktes teilweise leicht anders bewertet, insgesamt stuft der Hersteller das Update allerdings als schwerwiegend ein. Mit JSA103138 werden noch weitere ältere Schwachstellen in Elasticsearch und X-Pack Machine Learning adressiert.
Aufgrund der Umstrukturierung der CVE-Vergabe im Linux-Kernel gibt es ein stark erhöhtes Aufkommen von Linux-Schwachstellen. Dies liegt daran, dass wesentlich mehr Patches als Schwachstellen registriert werden, und bedeutet nicht, dass der Kernel tatsächlich angreifbarer wurde. In den Schwachstelleninformationen des DFN-CERT werden deshalb, bei umfangreicheren Kernel-Updates wie diesem, nur noch bis zu 10 der schwerwiegendsten behobenen Schwachstellen beschrieben. Kritische Schwachstellen werden immer beschrieben. In den Referenzen befinden sich nur noch die NVD-Einträge der von uns beschriebenen Schwachstellen. Eine vollständige Liste aller behobenen Schwachstellen findet sich im Hersteller-Advisory in den Referenzen.
Schwachstellen:
CVE-2015-1427
Schwachstelle in Elasticsearch ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2015-3253
Schwachstelle in Apache Groovy erlaubt Ausführen beliebigen ProgrammcodesCVE-2015-5377
Schwachstelle in Elasticsearch erlaubt das Ausführen beliebigen ProgrammcodesCVE-2018-3831
Schwachstelle in Elasticsearch Alerting and Monitoring ermöglicht Ausspähen von InformationenCVE-2019-12900
Schwachstelle in bzip2 ermöglicht Ausführung beliebigen ProgrammcodesCVE-2020-11023
Schwachstelle in jQuery ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-3903
Schwachstelle in vim ermöglicht Denial-of-Service-AngriffCVE-2021-40153
Schwachstelle in SquashFS ermöglicht Path-Traversal-AngriffCVE-2021-4104
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-41043
Schwachstelle in tcpslice ermöglicht Denial-of-Service-AngriffCVE-2021-41072
Schwachstelle in SquashFS ermöglicht Path-Traversal-AngriffCVE-2021-42550
Schwachstelle in logback ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-44228
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-44832
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-45046
Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-45105
Schwachstelle in Apache Log4j ermöglicht Denial-of-Service-AngriffCVE-2022-24805
Schwachstelle in Net-SNMP ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-24806
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2022-24807
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2022-24808
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2022-24810
Schwachstelle in Net-SNMP ermöglicht Denial-of-Service-AngriffCVE-2022-48622
Schwachstelle in GDK-PixBuf ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-0464
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2023-21102
Schwachstelle in Kernel-Komponente ermöglicht PrivilegieneskalationCVE-2023-2124
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2023-2235
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-22655
Schwachstelle in Intel Prozessor Firmware ermöglicht PrivilegieneskalationCVE-2023-25193
Schwachstelle in HarfBuzz ermöglicht Denial-of-Service-AngriffCVE-2023-2603
Schwachstelle in libcap ermöglicht u. a. Denial-of-Service-AngriffCVE-2023-27349
Schwachstelle in BlueZ ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2023-28466
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-28746
Schwachstelle in Intel Atom-Prozessoren ermöglicht Ausspähen von InformationenCVE-2023-3090
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-31248
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-32233
Schwachstelle in Linux-Kernel ermöglicht Erlangen von AdministratorrechtenCVE-2023-3390
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-35001
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-35788
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2023-3610
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-3776
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2023-38408
Schwachstelle in OpenSSH ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-38575
Schwachstelle in Intel Prozessoren ermöglicht Ausspähen von InformationenCVE-2023-39368
Schwachstelle in Intel Prozessoren ermöglicht Denial-of-Service-AngriffCVE-2023-4004
Schwachstelle in Linux-Kernel ermöglicht u. a. PrivilegieneskalationCVE-2023-4147
Schwachstelle in Linux-Kernel ermöglicht u. a. PrivilegieneskalationCVE-2023-43490
Schwachstelle in Intel Prozessor Firmware und Intel Software Guard Extensions (SGX) ermöglicht Ausspähen von InformationenCVE-2023-43785
Schwachstelle in OpenBSD und Xlib (libX11) ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2023-43786
Schwachstelle in OpenBSD, Xlib (libX11) und libXpm ermöglicht Denial-of-Service-AngriffCVE-2023-43787
Schwachstelle in OpenBSD, Xlib (libX11) und libXpm ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2023-44431
Schwachstelle in BlueZ ermöglicht Ausführen beliebigen Programmcodes mit AdministratorrechtenCVE-2023-45733
Schwachstelle in Intel Microcode ermöglicht Ausspähen von InformationenCVE-2023-45866
Schwachstelle in BlueZ ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-46103
Schwachstelle in Intel Microcode ermöglicht Denial-of-Service-AngriffCVE-2023-47038
Schwachstelle in Perl ermöglicht u. a. Denial-of-Service-AngriffCVE-2023-48161
Schwachstelle in GIFLIB ermöglicht u. a. Ausspähen von InformationenCVE-2023-4911
Schwachstelle in GNU Lib C ermöglicht Erlangen von AdministratorrechtenCVE-2023-50229
Schwachstelle in BlueZ ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2023-50230
Schwachstelle in BlueZ ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2023-51580
Schwachstelle in BlueZ ermöglicht Ausspähen von InformationenCVE-2023-51589
Schwachstelle in BlueZ ermöglicht Ausspähen von InformationenCVE-2023-51592
Schwachstelle in BlueZ ermöglicht Ausspähen von InformationenCVE-2023-51594
Schwachstelle in BlueZ ermöglicht Ausspähen von InformationenCVE-2023-51596
Schwachstelle in BlueZ ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-51764
Schwachstelle in Postfix ermöglicht u. a. Darstellen falscher InformationenCVE-2023-6004
Schwachstelle in Bibliothek libssh ermöglicht eine Code-InjectionCVE-2023-7104
Schwachstelle in SQLite ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-12797
Schwachstelle in OpenSSL ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2024-1737
Schwachstelle in ISC BIND ermöglicht Denial-of-Service-AngriffCVE-2024-1975
Schwachstelle in ISC BIND ermöglicht Denial-of-Service-AngriffCVE-2024-21208
Schwachstelle in Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM ermöglicht Denial-of-Service-AngriffCVE-2024-21210
Schwachstelle in Oracle Java SE ermöglicht Manipulation von DatenCVE-2024-21217
Schwachstelle in Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM ermöglicht Denial-of-Service-AngriffCVE-2024-21235
Schwachstelle in Oracle Java SE, Oracle GraalVM for JDK und Oracle GraalVM ermöglicht u. a. Manipulation von DatenCVE-2024-21823
Schwachstelle in Intel Xeon Prozessoren und Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-22025
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2024-2236
Schwachstelle in Libgcrypt ermöglicht Ausspähen von InformationenCVE-2024-24795
Schwachstelle in Apache httpd ermöglicht HTTP-Response-Splitting-AngriffCVE-2024-24806
Schwachstelle in libuv ermöglicht Server-Side-Request-Forgery-AngriffCVE-2024-2511
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2024-25629
Schwachstelle in c-ares ermöglicht Denial-of-Service-AngriffCVE-2024-26327
Schwachstelle in QEMU ermöglicht Denial-of-Service-AngriffCVE-2024-26600
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-26808
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-26828
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-27049
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-27052
Schwachstelle in Linux-Kernel ermöglicht PrivilegieneskalationCVE-2024-27280
Schwachstelle in Ruby ermöglicht Ausspähen von InformationenCVE-2024-27281
Schwachstelle in Ruby ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-27282
Schwachstelle in Ruby ermöglicht Ausspähen von InformationenCVE-2024-27982
Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-AngriffCVE-2024-27983
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2024-28182
Schwachstelle in nghttp2 ermöglicht Denial-of-Service-AngriffCVE-2024-30203
Schwachstelle in GNU Emacs ermöglicht Denial-of-Service-AngriffCVE-2024-30204
Schwachstelle in GNU Emacs ermöglicht Denial-of-Service-AngriffCVE-2024-30205
Schwachstelle in GNU Emacs ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-34397
Schwachstelle in GNOME GLib ermöglicht Darstellen falscher InformationenCVE-2024-35789
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-35823
Schwachstelle in Linux-Kernel ermöglicht Darstellen falscher InformationenCVE-2024-35937
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-3596
Schwachstelle in RADIUS/UDP-Protokoll ermöglicht PrivilegieneskalationCVE-2024-35969
Schwachstelle in Linux-Kernel ermöglicht u.a. Denial-of-Service-AngriffCVE-2024-36017
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-36020
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-36489
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-36921
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-36929
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-36941
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-36971
Schwachstelle im Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-37356
Schwachstelle in Linux-Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2024-38428
Schwachstelle in GNU Wget ermöglicht u. a. Ausspähen von InformationenCVE-2024-38558
Schwachstelle in Linux-Kernel ermöglicht Denial-of-Service-AngriffCVE-2024-39487
Schwachstelle in Linux-Kernel ermöglicht eventuell PrivilegieneskalationCVE-2024-39908
Schwachstelle in REXML ermöglicht Denial-of-Service-AngriffCVE-2024-4076
Schwachstelle in ISC BIND ermöglicht Denial-of-Service-AngriffCVE-2024-40954
Schwachstelle in Linux-Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-41123
Schwachstelle in REXML ermöglicht Denial-of-Service-AngriffCVE-2024-41946
Schwachstelle in REXML ermöglicht Denial-of-Service-AngriffCVE-2024-42934
Schwachstelle in OpenIPMI ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2024-43398
Schwachstelle in REXML ermöglicht Denial-of-Service-AngriffCVE-2024-4603
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2024-47538
Schwachstelle in GStreamer ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-47607
Schwachstelle in GStreamer ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-47615
Schwachstelle in GStreamer ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-49761
Schwachstelle in REXML ermöglicht Denial-of-Service-AngriffCVE-2024-52337
Schwachstelle in TuneD ermöglicht Darstellen falscher InformationenCVE-2024-5564
Schwachstelle in libndp ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-5742
Schwachstelle in GNU nano ermöglicht u. a. Manipulation von DateienCVE-2024-6126
Schwachstelle in Cockpit ermöglicht Denial-of-Service-AngriffCVE-2024-6409
Schwachstelle in OpenBSD OpenSSH ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-6655
Schwachstelle in GTK+ ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-8235
Schwachstelle in libvirt ermöglicht Denial-of-Service-AngriffCVE-2024-8508
Schwachstelle in Unbound ermöglicht Denial-of-Service-AngriffCVE-2024-9632
Schwachstelle in OpenBSD, X.Org Server und Xwayland ermöglicht u. a. PrivilegieneskalationCVE-2025-0624
Schwachstelle in GNU GRUB 2 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-26594
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-26595
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-26596
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-26597
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-26598
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-26599
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-26600
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-26601
Schwachstelle in X.Org Server und Xwayland ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des DienstesCVE-2025-59968
Schwachstelle in Junos Space Security Director ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-59974
Schwachstelle in Junos Space Security Director ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59975
Schwachstelle in Juniper Junos Space ermöglicht Denial-of-Service-AngriffCVE-2025-59976
Schwachstelle in Juniper Junos Space ermöglicht Ausspähen von InformationenCVE-2025-59977
Schwachstelle in Juniper Junos Space ermöglicht u. a. Ausspähen von InformationenCVE-2025-59978
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59981
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59982
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59983
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59984
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59985
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59986
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59987
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59988
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59989
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59990
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59991
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59992
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59993
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59994
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59995
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59996
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59997
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59998
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-59999
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-60000
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-60001
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-60002
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-AngriffCVE-2025-60009
Schwachstelle in Juniper Junos Space ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.