Screenos
Уязвимости
16
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.614
Распределение по критичности
Критический
1
Высокий
6
Средний
9
Низкий
0
Затронутые диапазоны версий
≤ 6.3.0
Также сопоставлено как (исходные строки): netscreen-5200,netscreen-5400,screenos,junose,junos
Топ уязвимостей
CVE-2015-7755Уязвимость в Juniper ScreenOS (версии 6.2.0r15‑r18, 6.3.0r12‑r21) позволяет удалённому атакующему получить привилегированный (административный) доступ, введя неуказанный пароль в сеансе SSH или TELNET. Уязвимость связана с наличием неуказанного пароля, который может быть использован для получения административного доступа. Juniper выпустила патчи для затронутых версий и рекомендовала немедленно обновить устройства, а также ограничить доступ только из доверенных сетей. Источники: [1] http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/ [5] https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
CVE-2015-7754Juniper ScreenOS до 6.3.0r21, когда ssh-pka настроен и включен, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой системы) или выполнить произвольный код через специально созданное согласование SSH.
CVE-2014-3814Устройства Juniper Networks NetScreen Firewall с ScreenOS до 6.3r17, когда настроено использование внутреннего клиента DNS-поиска, позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой и перезагрузка) через последовательность неправильно сформированных пакетов на IP-адрес устройства.
CVE-2014-3813Неуказанная уязвимость в продуктах Juniper Networks NetScreen Firewall с ScreenOS до 6.3r17, когда настроено использование внутреннего клиента DNS-поиска, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой и перезагрузка) через векторы, связанные с DNS-поиском.
CVE-2014-2842Juniper ScreenOS 6.3 и более ранние версии позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой и перезапуск или переключение на резервный ресурс) через поврежденный пакет SSL/TLS.
CVE-2016-1268Интерфейс веб-служб администрирования в Juniper ScreenOS до версии 6.3.0r21 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (перезагрузку) через специально созданный пакет SSL.
CVE-2013-6958Juniper NetScreen Firewall под управлением ScreenOS 5.4, 6.2 или 6.3, когда экран Ping of Death отключен, позволяет удаленным злоумышленникам вызывать отказ в обслуживании с помощью специально созданного пакета.
CVE-2018-0014Устройства Juniper Networks ScreenOS не дополняют Ethernet-пакеты нулями, и, таким образом, некоторые пакеты могут содержать фрагменты системной памяти или данные из предыдущих пакетов. Эта проблема часто обнаруживается как CVE-2003-0001. Проблема затрагивает все версии Juniper Networks ScreenOS до 6.3.0r25.
CVE-2017-2339Уязвимость постоянного межсайтового скриптинга в NetScreen WebUI Juniper Networks Juniper NetScreen Firewall+VPN под управлением ScreenOS позволяет пользователю с ролью "security" внедрять HTML/JavaScript-контент в сеанс управления других пользователей, включая администратора. Это позволяет пользователю с более низкими привилегиями эффективно выполнять команды с разрешениями администратора. Эта проблема затрагивает выпуски Juniper Networks ScreenOS 6.3.0 до 6.3.0r24 на SSG Series. Другие продукты или платформы Juniper Networks не подвержены этой проблеме.
CVE-2017-2338Уязвимость постоянного межсайтового скриптинга в NetScreen WebUI Juniper Networks Juniper NetScreen Firewall+VPN под управлением ScreenOS позволяет пользователю с ролью "security" внедрять HTML/JavaScript-контент в сеанс управления других пользователей, включая администратора. Это позволяет пользователю с более низкими привилегиями эффективно выполнять команды с разрешениями администратора. Эта проблема затрагивает выпуски Juniper Networks ScreenOS 6.3.0 до 6.3.0r24 на SSG Series. Другие продукты или платформы Juniper Networks не подвержены этой проблеме.
CVE-2017-2337Уязвимость постоянного межсайтового скриптинга в NetScreen WebUI Juniper Networks Juniper NetScreen Firewall+VPN под управлением ScreenOS позволяет пользователю с ролью "security" внедрять HTML/JavaScript-контент в сеанс управления других пользователей, включая администратора. Это позволяет пользователю с более низкими привилегиями эффективно выполнять команды с разрешениями администратора. Эта проблема затрагивает выпуски Juniper Networks ScreenOS 6.3.0 до 6.3.0r24 на SSG Series. Другие продукты или платформы Juniper Networks не подвержены этой проблеме.
CVE-2017-2336Уязвимость отраженного межсайтового скриптинга в NetScreen WebUI Juniper Networks Juniper NetScreen Firewall+VPN под управлением ScreenOS позволяет злоумышленнику, находящемуся в сети, внедрять HTML/JavaScript-контент в сеанс управления других пользователей, включая администратора. Это позволяет злоумышленнику эффективно выполнять команды с разрешениями администратора. Эта проблема затрагивает выпуски Juniper Networks ScreenOS 6.3.0 до 6.3.0r24 на SSG Series. Другие продукты или платформы Juniper Networks не подвержены этой проблеме.
CVE-2017-2335Уязвимость постоянного межсайтового скриптинга в NetScreen WebUI Juniper Networks Juniper NetScreen Firewall+VPN под управлением ScreenOS позволяет пользователю с ролью "security" внедрять HTML/JavaScript-контент в сеанс управления других пользователей, включая администратора. Это позволяет пользователю с более низкими привилегиями эффективно выполнять команды с разрешениями администратора. Эта проблема затрагивает выпуски Juniper Networks ScreenOS 6.3.0 до 6.3.0r24 на SSG Series. Другие продукты или платформы Juniper Networks не подвержены этой проблеме.
CVE-2013-7313Реализация OSPF в Juniper Junos до 13.x, JunosE и ScreenOS до 6.3.x не учитывает возможность дублирования значений Link State ID в пакетах Link State Advertisement (LSA) перед выполнением операций с базой данных LSA, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (нарушение маршрутизации) или получать конфиденциальную информацию о пакетах через специально созданный пакет LSA, проблема, связанная с CVE-2013-0149.
CVE-2015-7756Реализация шифрования в Juniper ScreenOS 6.2.0r15 до 6.2.0r18, 6.3.0r12 до 6.3.0r12b, 6.3.0r13 до 6.3.0r13b, 6.3.0r14 до 6.3.0r14b, 6.3.0r15 до 6.3.0r15b, 6.3.0r16 до 6.3.0r16b, 6.3.0r17 до 6.3.0r17b, 6.3.0r18 до 6.3.0r18b, 6.3.0r19 до 6.3.0r19b и 6.3.0r20 до 6.3.0r21 облегчает удаленным злоумышленникам обнаружение содержимого открытого текста VPN-сессий путем перехвата сети для данных зашифрованного текста и проведения неуказанной атаки расшифровки.
CVE-2015-7750Функциональность обработки пакетов L2TP в продуктах Juniper Netscreen и ScreenOS Firewall с ScreenOS до 6.3.0r13-dnd1, 6.3.0r14 до 6.3.0r18 до 6.3.0r18-dnc1 и 6.3.0r19 позволяет удаленным злоумышленникам вызвать отказ в обслуживании через специально созданный пакет L2TP.