Уязвимость BDU:2015-12233

Дата: 18.12.2015. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2015-12233.

Наименование уязвимости: Уязвимость операционной системы ScreenOS, позволяющая нарушителю подключиться к устройству с правами администратора.

Описание уязвимости: Уязвимость операционной системы ScreenOS связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить права администратора в результате ввода специально сформированного пароля при подключении к устройству по протоколам SSH или TELNET
Уязвимое ПО: ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.2.0r15 до 6.2.0r18 включительно | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r12 до 6.3.0r12b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r13 до 6.3.0r13b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r14 до 6.3.0r14b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r15 до 6.3.0r15b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r16 до 6.3.0r16b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r17 до 6.3.0r17b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r18 до 6.3.0r18b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r19 до 6.3.0r19b | ПО сетевого программно-аппаратного средства Juniper Networks Inc. ScreenOS от 6.3.0r20 до 6.3.0r21 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 18.12.2015.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению:
Установка обновления, доступного на сайте производителя: http://www.juniper.net/support/downloads/screenos.html
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2015-7755.
Прочая информация:
Тип ошибки CWE: CWE-259
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/
http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/
http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713
https://github.com/hdm/juniper-cve-2015-7755


https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
https://adamcaudill.com/2015/12/17/much-ado-about-juniper/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.