Multiples vulnérabilités dans les produits Juniper Networks (28 juin 2024)

Risques

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Systèmes affectés

Session Smart Router et Session Smart Conductor versions 6.2.x antérieures à 6.2.5-sts
Session Smart Router et Session Smart Conductor versions 6.x antérieures à 6.1.9-lts
Session Smart Router et Session Smart Conductor versions antérieures à 5.6.15
WAN Assurance Router versions 6.2.x antérieures à 6.2.5-sts
WAN Assurance Router versions 6.x antérieures à 6.1.9-lts

L'éditeur indique que seuls les équipements configurés en mode haute disponibilité sont affectés.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Juniper Networks. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Juniper Networks du 27 juin 2024

https://supportportal.juniper.net/s/article/2024-06-Out-Of-Cycle-Security-Bulletin-Session-Smart-Router-SSR-On-redundant-router-deployments-API-authentication-can-be-bypassed-CVE-2024-2973

Référence CVE CVE-2024-2973

https://www.cve.org/CVERecord?id=CVE-2024-2973

Avis de sécurité