Juniper Junos 多种 OpenSSL 漏洞 (JSA10649)
high Nessus 插件 ID 78420
语言:
简介
远程设备缺少供应商提供的安全修补程序。描述
根据其自我报告的版本号,远程 Junos 设备受到 OpenSSL 实现中多种漏洞的影响:- 存在关于“ec point format extension”处理和多线程客户端的错误,在恢复会话时允许覆盖已释放内存。
(CVE-2014-3509)
- 关于处理碎片化的“ClientHello”信息存在错误,导致中间人攻击者不管服务器和客户端是否支持更高协议级别而强制使用 TLS 1.0。(CVE-2014-3511)
- 存在关于处理具有不明影响的安全远程密码协议 (SRP) 参数的缓冲区溢出错误。(CVE-2014-3512)
- 存在关于处理安全远程密码协议 (SRP) 的空指针取消引用错误,可能引起恶意服务器造成客户端崩溃,从而导致拒绝服务。(CVE-2014-5139)
请注意,这些问题只影响启用了 JUNOScript 的 J-Web 或SSL 服务的设备。
解决方案
应用 Juniper 公告 JSA10649 中引用的相关 Junos 软件版本或变通方案。另见
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10649
插件详情
严重性: High
ID: 78420
文件名: juniper_jsa10649.nasl
版本: 1.10
类型: combined
发布时间: 2014/10/14
最近更新时间: 2018/7/12
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: cpe:/o:juniper:junos
必需的 KB 项: Host/Juniper/JUNOS/Version
易利用性: No known exploits are available
补丁发布日期: 2014/10/8
漏洞发布日期: 2014/8/6
参考资料信息
CVE: CVE-2014-3509, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139
BID: 69077, 69079, 69083, 69084
JSA: JSA10649