Kritiska sårbarheter i Juniper-produkter

Juniper Networks rättar flera sårbarheter i Juniper Secure Analytics, varav två anses kritiska. [1]

De kritiska sårbarheterna återfinns i underliggande bibliotek som används i Secure Analytics (Apache ZooKeeper och Certifi).

Sårbarheten i Certifi (CVE-2023-37920, CVSS-klassning 9,8) innebär att rotcertifikat acceptereras, trots att de inte längre är tillförlitliga.

Sårbarheten i Apache ZooKeeper (CVE-2023-44981, CVSS-klassning 9,1) gör det möjligt för en godtycklig slutpunkt att bli inkluderad i ett Secure Analytics-kluster utan godkännande från administratörsenheten.

Påverkade produkter

Juniper Secure Analytics (alla versioner före 7-5-0 UP7 IF05)

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt och i övrigt föĺja leverantörens instruktioner.

Källor

[1] https://supportportal.juniper.net/s/article/On-Demand-JSA-Series-Multiple-vulnerabilities-resolved-in-Juniper-Secure-Analytics-in-7-5-0-UP7-IF05