Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2023 - AVI - 0537

AVIS CERT

CERT-FR

Publié le 13 juillet 2023 à 16h35

Objet : Multiples vulnérabilités dans les produits Juniper

Référence : CERTFR-2023-AVI-537

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- Junos OS gammes SRX 4600 et SRX 5000 versions antérieures à 20.2R3-S7, 20.4R3-S7, 21.1R3-S5, 21.2R3-S3, 21.3R3-S3, 21.4R3-S1, 22.1R3, 22.2R2, 22.3R1-S1, 22.3R2 et 22.4R1
- Junos OS gamme MX versions antérieures à 19.1R3-S10, 19.2R3-S7, 19.3R3-S8, 19.4R3-S12, 20.2R3-S8, 20.4R3-S7, 21.1R3-S5, 21.2R3-S5, 21.2R3-S4, 21.3R3-S4, 21.4R3-S3, 21.4R3-S4, 22.1R3-S2, 22.1R3-S3, 22.2R3-S1, 22.3R3, 22.3R2-S1, 22.4R1-S2, 22.4R2 et 23.1R1
- Junos OS gamme SRX versions antérieures à 20.2R3-S7, 20.4R3-S6, 21.1R3-S5, 21.2R3-S4, 21.3R3-S4, 21.4R3-S3, 22.1R3-S1, 22.2R3, 22.3R2, 22.3R2-S1, 22.3R3, 22.4R1-S1, 22.4R1-S2, 22.4R2 et 23.1R1
- Juniper Networks gammes SRX et MX versions antérieures à SigPack 3598
- Juniper Networks Junos Space versions antérieures à 23.1R1
- Junos OS gamme QFX10000 versions antérieures à 20.4R3-S5, 21.1R3-S5, 21.2R3-S5, 21.3R3-S4, 21.4R3-S1, 22.1R3, 22.2R2, 22.3R1-S2, 22.3R2 et 22.4R1
- Juniper Networks Contrail Cloud versions antérieures à 16.3.0
- Junos OS versions antérieures à 19.1R3-S10, 19.2R3-S7, 19.3R3-S7, 19.3R3-S8, 19.4R3-S9, 19.4R3-S10, 19.4R3-S11, 20.2R3-S7, 20.3R3-S5, 20.3R3-S6, 20.4R3-S6, 20.4R3-S7, 21.1R3-S4, 21.2R3-S2, 21.3R3-S1, 21.4R3, 22.1R1-S2, 22.1R2, 22.2R2, 20.2R3-S6, 20.4R3-S5, 21.1R3-S4, 21.2R3-S3, 21.2R3-S5, 21.3R3-S2, 21.3R3-S4, 21.4R3, 21.4R3-S4, 22.1R3, 22.2R2, 22.2R3, 22.3R1, 22.3R2, 22.4R1 et 23.2R1
- Junos OS Evolved versions antérieures à 20.4R3-S6-EVO, 20.4R3-S7-EVO, 21.2R3-S5-EVO, 21.3R3-S1-EVO, 21.3R3-S4-EVO, 21.4R3-EVO, 21.4R3-S2-EVO, 21.4R3-S3-EVO, 21.4R3-S4-EVO, 22.1R1-S2-EVO, 22.1R2-EVO, 22.1R3-EVO, 22.1R3-S3-EVO, 22.2R2-EVO, 22.2R2-S1-EVO, 22.2R3-S2-EVO*, 22.2R3-EVO et 22.3R1-EVO, 22.3R2-EVO, 22.3R3-EVO, 22.4R1-EVO, 22.4R1-S2-EVO, 22.4R2-EVO, 23.1R1-EVO

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Juniper. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Juniper JSA71641 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-SRX-4600-and-SRX-5000-Series-The-receipt-of-specific-genuine-packets-by-SRXes-configured-for-L2-transparency-will-cause-a-DoS-CVE-2023-36834?language=en_US

- Bulletin de sécurité Juniper JSA71640 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-Evolved-PTX10001-36MR-and-PTX10004-PTX10008-PTX10016-with-LC1201-1202-The-aftman-bt-process-will-crash-in-a-MoFRR-scenario-CVE-2023-36833?language=en_US

- Bulletin de sécurité Juniper JSA71639 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-MX-Series-PFE-crash-upon-receipt-of-specific-packet-destined-to-an-AMS-interface-CVE-2023-36832?language=en_US

- Bulletin de sécurité Juniper JSA71636 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-SRX-Series-jbuf-memory-leak-when-SSL-Proxy-and-UTM-Web-Filtering-is-applied-CVE-2023-36831?language=en_US

- Bulletin de sécurité Juniper JSA71655 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Multiple-vulnerabilities-have-been-resolved-in-MQTT?language=en_US

- Bulletin de sécurité Juniper JSA71662 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-SRX-Series-and-MX-Series-An-FPC-core-is-observed-when-IDP-is-enabled-on-the-device-and-a-specific-malformed-SSL-packet-is-received-CVE-2023-28985?language=en_US

- Bulletin de sécurité Juniper JSA71661 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-MX-Series-An-MPC-will-crash-upon-receipt-of-a-malformed-CFM-packet-CVE-2023-36850?language=en_US

- Bulletin de sécurité Juniper JSA71660 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-The-l2cpd-will-crash-when-a-malformed-LLDP-packet-is-received-CVE-2023-36849?language=en_US

- Bulletin de sécurité Juniper JSA71659 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-The-FPC-will-crash-on-receiving-a-malformed-CFM-packet-CVE-2023-36848?language=en_US

- Bulletin de sécurité Juniper JSA71656 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-Space-Multiple-vulnerabilities-resolved-in-23-1R1-release?language=en_US

- Bulletin de sécurité Juniper JSA71642 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-QFX10000-Series-All-traffic-will-be-dropped-after-a-specific-valid-IP-packet-has-been-received-which-needs-to-be-routed-over-a-VXLAN-tunnel-CVE-2023-36835?language=en_US

- Bulletin de sécurité Juniper JSA71653 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US

- Bulletin de sécurité Juniper JSA71651 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-Evolved-Multiple-NTP-vulnerabilities-resolved?language=en_US

- Bulletin de sécurité Juniper JSA71650 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Contrail-Cloud-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Cloud-release-16-3-0?language=en_US

- Bulletin de sécurité Juniper JSA71647 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-An-rpd-crash-occurs-when-a-specific-L2VPN-command-is-run-CVE-2023-36840?language=en_US

- Bulletin de sécurité Juniper JSA71645 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-SRX-Series-A-flowd-core-occurs-when-running-a-low-privileged-CLI-command-CVE-2023-36838?language=en_US

- Bulletin de sécurité Juniper JSA71643 du 12 juillet 2023

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-In-a-MoFRR-scenario-an-rpd-core-may-be-observed-when-a-low-privileged-CLI-command-is-executed-CVE-2023-36836?language=en_US

- Référence CVE CVE-2023-36834

https://www.cve.org/CVERecord?id=CVE-2023-36834

- Référence CVE CVE-2023-36833

https://www.cve.org/CVERecord?id=CVE-2023-36833

- Référence CVE CVE-2023-36832

https://www.cve.org/CVERecord?id=CVE-2023-36832

- Référence CVE CVE-2023-36831

https://www.cve.org/CVERecord?id=CVE-2023-36831

- Référence CVE CVE-2017-7653

https://www.cve.org/CVERecord?id=CVE-2017-7653

- Référence CVE CVE-2017-7654

https://www.cve.org/CVERecord?id=CVE-2017-7654

- Référence CVE CVE-2017-7655

https://www.cve.org/CVERecord?id=CVE-2017-7655

- Référence CVE CVE-2023-28985

https://www.cve.org/CVERecord?id=CVE-2023-28985

- Référence CVE CVE-2023-36850

https://www.cve.org/CVERecord?id=CVE-2023-36850

- Référence CVE CVE-2023-36849

https://www.cve.org/CVERecord?id=CVE-2023-36849

- Référence CVE CVE-2023-36848

https://www.cve.org/CVERecord?id=CVE-2023-36848

- Référence CVE CVE-2022-41974

https://www.cve.org/CVERecord?id=CVE-2022-41974

- Référence CVE CVE-2022-42898

https://www.cve.org/CVERecord?id=CVE-2022-42898

- Référence CVE CVE-2021-26401

https://www.cve.org/CVERecord?id=CVE-2021-26401

- Référence CVE CVE-2022-2964

https://www.cve.org/CVERecord?id=CVE-2022-2964

- Référence CVE CVE-2020-13946

https://www.cve.org/CVERecord?id=CVE-2020-13946

- Référence CVE CVE-2022-38023

https://www.cve.org/CVERecord?id=CVE-2022-38023

- Référence CVE CVE-2022-42703

https://www.cve.org/CVERecord?id=CVE-2022-42703

- Référence CVE CVE-2022-4378

https://www.cve.org/CVERecord?id=CVE-2022-4378

- Référence CVE CVE-2021-25220

https://www.cve.org/CVERecord?id=CVE-2021-25220

- Référence CVE CVE-2022-2795

https://www.cve.org/CVERecord?id=CVE-2022-2795

- Référence CVE CVE-2023-36835

https://www.cve.org/CVERecord?id=CVE-2023-36835

- Référence CVE CVE-2022-31629

https://www.cve.org/CVERecord?id=CVE-2022-31629

- Référence CVE CVE-2022-31628

https://www.cve.org/CVERecord?id=CVE-2022-31628

- Référence CVE CVE-2022-31627

https://www.cve.org/CVERecord?id=CVE-2022-31627

- Référence CVE CVE-2022-31626

https://www.cve.org/CVERecord?id=CVE-2022-31626

- Référence CVE CVE-2022-31625

https://www.cve.org/CVERecord?id=CVE-2022-31625

- Référence CVE CVE-2021-21708

https://www.cve.org/CVERecord?id=CVE-2021-21708

- Référence CVE CVE-2021-21707

https://www.cve.org/CVERecord?id=CVE-2021-21707

- Référence CVE CVE-2021-21705

https://www.cve.org/CVERecord?id=CVE-2021-21705

- Référence CVE CVE-2021-21704

https://www.cve.org/CVERecord?id=CVE-2021-21704

- Référence CVE CVE-2021-21703

https://www.cve.org/CVERecord?id=CVE-2021-21703

- Référence CVE CVE-2021-21702

https://www.cve.org/CVERecord?id=CVE-2021-21702

- Référence CVE CVE-2020-7071

https://www.cve.org/CVERecord?id=CVE-2020-7071

- Référence CVE CVE-2020-13817

https://www.cve.org/CVERecord?id=CVE-2020-13817

- Référence CVE CVE-2020-11868

https://www.cve.org/CVERecord?id=CVE-2020-11868

- Référence CVE CVE-2019-11358

https://www.cve.org/CVERecord?id=CVE-2019-11358

- Référence CVE CVE-2021-40085

https://www.cve.org/CVERecord?id=CVE-2021-40085

- Référence CVE CVE-2022-23825

https://www.cve.org/CVERecord?id=CVE-2022-23825

- Référence CVE CVE-2022-26373

https://www.cve.org/CVERecord?id=CVE-2022-26373

- Référence CVE CVE-2022-29900

https://www.cve.org/CVERecord?id=CVE-2022-29900

- Référence CVE CVE-2022-29901

https://www.cve.org/CVERecord?id=CVE-2022-29901

- Référence CVE CVE-2022-30123

https://www.cve.org/CVERecord?id=CVE-2022-30123

- Référence CVE CVE-2022-3276

https://www.cve.org/CVERecord?id=CVE-2022-3276

- Référence CVE CVE-2022-41974

https://www.cve.org/CVERecord?id=CVE-2022-41974

- Référence CVE CVE-2022-2588

https://www.cve.org/CVERecord?id=CVE-2022-2588

- Référence CVE CVE-2023-36840

https://www.cve.org/CVERecord?id=CVE-2023-36840

- Référence CVE CVE-2023-36838

https://www.cve.org/CVERecord?id=CVE-2023-36838

- Référence CVE CVE-2023-36836

https://www.cve.org/CVERecord?id=CVE-2023-36836

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-537/