Уязвимость классификации трафика в Juniper Networks Junos OS на сервисных шлюзах серии SRX может позволить злоумышленнику обойти правила Ju…

Уязвимость классификации трафика в Juniper Networks Junos OS на сервисных шлюзах серии SRX может позволить злоумышленнику обойти правила Juniper Deep Packet Inspection (JDPI) и получить доступ к неавторизованным сетям или ресурсам, когда на устройстве включена опция 'no-syn-check'. В то время как JDPI правильно классифицирует асимметричные TCP-потоки вне состояния как динамическое приложение UNKNOWN, эта классификация не предоставляется должным образом модулю политики, и поэтому трафик продолжает использовать pre-id-default-policy, который является более разрешительным, в результате чего брандмауэр разрешает пересылку трафика, который должен был быть запрещен. Эта проблема возникает только в том случае, если на устройстве настроено 'set security flow tcp-session no-syn-check'. Эта проблема затрагивает Juniper Networks Junos OS на серии SRX: 18.4 версии до 18.4R2-S10, 18.4R3-S10; 19.1 версии до 19.1R3-S8; 19.2 версии до 19.2R1-S8, 19.2R3-S4; 19.3 версии до 19.3R3-S3; 19.4 версии до 19.4R3-S5; 20.1 версии до 20.1R3-S1; 20.2 версии до 20.2R3-S2; 20.3 версии до 20.3R3-S1; 20.4 версии до 20.4R2-S2, 20.4R3; 21.1 версии до 21.1R2-S2, 21.1R3; 21.2 версии до 21.2R2. Эта проблема не затрагивает версии Juniper Networks Junos OS до 18.4R1.