Vulnérabilités dans le système d'exploitation Juniper Junos OS

Risques

• Déni de service 
• Injection de code arbitraire

Criticité

• Score CVSS v3 : 9.8

Existence d’un code d’exploitation

• Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Le processus overlayd s'exécute par défaut sur les plateformes MX Series, ACX Series et QFX Series.

Les dispositifs SRX Series ne prennent pas en charge VXLAN et ne sont donc pas vulnérables à ce problème.

Les autres plateformes sont également vulnérables si un réseau local extensible virtuel (VXLAN) est configuré en “overlay” sur celles-ci.

Les versions suivantes de Juniper Junos OS sont impactées par ces vulnérabilités :

• De 15.1 jusqu’à 15.1R7-S9
• De 17.3 jusqu’à 17.3R3-S11
• De 17.4 jusqu’à 17.4R2-S13, 17.4R3-S4
• De 18.1 jusqu’à 18.1R3-S12
• De 18.2 jusqu’à 18.2R2-S8, 18.2R3-S7
• De 18.3 jusqu’à 18.3R3-S4
• De 18.4 jusqu’à 18.4R1-S8, 18.4R2-S7, 18.4R3-S7
• De 19.1 jusqu’à 19.1R2-S2, 19.1R3-S4
• De 19.2 jusqu’à 19.2R1-S6, 19.2R3-S2
• De 19.3 jusqu’à 19.3R3-S1
• De 19.4 jusqu’à 19.4R2-S4, 19.4R3-S1
• De 20.1 jusqu’à 20.1R2-S1, 20.1R3
• De 20.2 jusqu’à 20.2R2, 20.2R2-S1, 20.2R3
• De 20.3 jusqu’à 20.3R1-S1

CVE

• CVE-2021-0254

Mise en place de correctifs de sécurité

Mettre à jour Juniper Junos OS sur les dispositifs impactées vers l’une des versions suivantes :

• 15.1R7-S9
• 17.3R3-S11
• 17.4R2-S13, 17.4R3-S4
• 18.1R3-S12
• 18.2R2-S8, 18.2R3-S7
• 18.3R3-S4
• 18.4R1-S8, 18.4R2-S7, 18.4R3-S7
• 19.1R2-S2, 19.1R3-S4
• 19.2R1-S6, 19.2R3-S2
• 19.3R3-S1
• 19.4R2-S4, 19.4R3-S1
• 20.1R2-S1, 20.1R3
• 20.2R2, 20.2R2-S1, 20.2R3
• 20.3R1-S1

Solution de contournement

• Il est possible de désactiver les types paquets OAM concernés par la vulnérabilité avec la commande : “set system processes overlay-ping-traceroute disable”.