Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00981

Опубликовано: 16 окт. 2020
Источник: fstec
CVSS3: 6.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость службы веб-API операционной системы Junos маршрутизаторов серий NFX и SRX связана с ошибками управления криптографическими ключами. Эксплуатация уязвимости может позволить нарушителю получить закрытый ключ службы веб-API

Вендор

Juniper Networks Inc.

Наименование ПО

JunOS

Версия ПО

от 12.3X48 до 12.3X48-D105 (JunOS)
от 15.1X49 до 15.1X49-D190 (JunOS)
от 16.1 до 16.1R7-S8 (JunOS)
от 17.2 до 17.2R3-S4 (JunOS)
от 17.3 до 17.3R3-S8 (JunOS)
от 17.4 до 17.4R2-S11 (JunOS)
от 17.4 до 17.4R3 (JunOS)
от 18.1 до 18.1R3-S7 (JunOS)
от 18.2 до 18.2R3 (JunOS)
от 18.3 до 18.3R2-S4 (JunOS)
от 18.3 до 18.3R3 (JunOS)
от 18.4 до 18.4R1-S7 (JunOS)
от 18.4 до 18.4R2 (JunOS)
от 19.1 до 19.1R2 (JunOS)
от 19.2 до 19.2R1-S4 (JunOS)
от 19.2 до 19.2R2 (JunOS)
от 12.3X48 до 12.3X48-D105 (JunOS)
от 15.1X49 до 15.1X49-D190 (JunOS)
от 16.1 до 16.1R7-S8 (JunOS)
от 17.2 до 17.2R3-S4 (JunOS)
от 17.3 до 17.3R3-S8 (JunOS)
от 17.4 до 17.4R2-S11 (JunOS)
от 17.4 до 17.4R3 (JunOS)
от 18.1 до 18.1R3-S7 (JunOS)
от 18.2 до 18.2R3 (JunOS)
от 18.3 до 18.3R2-S4 (JunOS)
от 18.3 до 18.3R3 (JunOS)
от 18.4 до 18.4R1-S7 (JunOS)
от 18.4 до 18.4R2 (JunOS)
от 19.1 до 19.1R2 (JunOS)
от 19.2 до 19.2R1-S4 (JunOS)
от 19.2 до 19.2R2 (JunOS)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Juniper Networks Inc. JunOS от 12.3X48 до 12.3X48-D105
Juniper Networks Inc. JunOS от 15.1X49 до 15.1X49-D190
Juniper Networks Inc. JunOS от 16.1 до 16.1R7-S8
Juniper Networks Inc. JunOS от 17.2 до 17.2R3-S4
Juniper Networks Inc. JunOS от 17.3 до 17.3R3-S8
Juniper Networks Inc. JunOS от 17.4 до 17.4R2-S11
Juniper Networks Inc. JunOS от 17.4 до 17.4R3
Juniper Networks Inc. JunOS от 18.1 до 18.1R3-S7
Juniper Networks Inc. JunOS от 18.2 до 18.2R3
Juniper Networks Inc. JunOS от 18.3 до 18.3R2-S4
Juniper Networks Inc. JunOS от 18.3 до 18.3R3
Juniper Networks Inc. JunOS от 18.4 до 18.4R1-S7
Juniper Networks Inc. JunOS от 18.4 до 18.4R2
Juniper Networks Inc. JunOS от 19.1 до 19.1R2
Juniper Networks Inc. JunOS от 19.2 до 19.2R1-S4
Juniper Networks Inc. JunOS от 19.2 до 19.2R2
Juniper Networks Inc. JunOS от 12.3X48 до 12.3X48-D105
Juniper Networks Inc. JunOS от 15.1X49 до 15.1X49-D190
Juniper Networks Inc. JunOS от 16.1 до 16.1R7-S8
Juniper Networks Inc. JunOS от 17.2 до 17.2R3-S4
Juniper Networks Inc. JunOS от 17.3 до 17.3R3-S8
Juniper Networks Inc. JunOS от 17.4 до 17.4R2-S11
Juniper Networks Inc. JunOS от 17.4 до 17.4R3
Juniper Networks Inc. JunOS от 18.1 до 18.1R3-S7
Juniper Networks Inc. JunOS от 18.2 до 18.2R3
Juniper Networks Inc. JunOS от 18.3 до 18.3R2-S4
Juniper Networks Inc. JunOS от 18.3 до 18.3R3
Juniper Networks Inc. JunOS от 18.4 до 18.4R1-S7
Juniper Networks Inc. JunOS от 18.4 до 18.4R2
Juniper Networks Inc. JunOS от 19.1 до 19.1R2
Juniper Networks Inc. JunOS от 19.2 до 19.2R1-S4
Juniper Networks Inc. JunOS от 19.2 до 19.2R2

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11085&cat=SIRT_1&actp=LIST

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 17%
0.00054
Низкий

6.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-1688

CVSS3: 6.5
nvd
больше 5 лет назад

On Juniper Networks SRX Series and NFX Series, a local authenticated user with access to the shell may obtain the Web API service private key that is used to provide encrypted communication between the Juniper device and the authenticator services. Exploitation of this vulnerability may allow an attacker to decrypt the communications between the Juniper device and the authenticator service. This Web API service is used for authentication services such as the Juniper Identity Management Service, used to obtain user identity for Integrated User Firewall feature, or the integrated ClearPass authentication and enforcement feature. This issue affects Juniper Networks Junos OS on Networks SRX Series and NFX Series: 12.3X48 versions prior to 12.3X48-D105; 15.1X49 versions prior to 15.1X49-D190; 16.1 versions prior to 16.1R7-S8; 17.2 versions prior to 17.2R3-S4; 17.3 versions prior to 17.3R3-S8; 17.4 versions prior to 17.4R2-S11, 17.4R3; 18.1 versions prior to 18.1R3-S7; 18.2 versions prior to

github логотип

GHSA-cccx-r256-72j4

github
больше 3 лет назад

On Juniper Networks SRX Series and NFX Series, a local authenticated user with access to the shell may obtain the Web API service private key that is used to provide encrypted communication between the Juniper device and the authenticator services. Exploitation of this vulnerability may allow an attacker to decrypt the communications between the Juniper device and the authenticator service. This Web API service is used for authentication services such as the Juniper Identity Management Service, used to obtain user identity for Integrated User Firewall feature, or the integrated ClearPass authentication and enforcement feature. This issue affects Juniper Networks Junos OS on Networks SRX Series and NFX Series: 12.3X48 versions prior to 12.3X48-D105; 15.1X49 versions prior to 15.1X49-D190; 16.1 versions prior to 16.1R7-S8; 17.2 versions prior to 17.2R3-S4; 17.3 versions prior to 17.3R3-S8; 17.4 versions prior to 17.4R2-S11, 17.4R3; 18.1 versions prior to 18.1R3-S7; 18.2 versions prior...

EPSS

Процентиль: 17%
0.00054
Низкий

6.5 Medium

CVSS3

4.6 Medium

CVSS2