Cette semaine, Juniper Networks a informé ses clients qu’il avait corrigé de nombreuses vulnérabilités dans ses produits, principalement celles qui pouvaient être exploitées pour des attaques par déni de service (DoS).

Plus d’une douzaine d’avis ont été publiés par la société pour décrire plusieurs vulnérabilités spécifiques aux produits Juniper, ainsi que des dizaines de failles affectant les composants tiers.

La majorité des faiblesses affectent Junos OS, mais certaines d’entre elles affectent Juniper Secure Analytics, Junos Space et Junos Space Security Director.

L’une des vulnérabilités les plus graves des logiciels créés par Juniper est CVE-2020-1647, un double problème gratuit critique qui affecte les pare-feu de la série SRX avec le service de redirection ICAP activé. Il peut permettre à un attaquant distant de provoquer une condition DoS ou d’exécuter du code arbitraire en envoyant des messages HTTP spécialement conçus.

Un autre bogue de sécurité critique est CVE-2020-1654, qui peut également entraîner l’exécution de DoS ou de code à distance. Cette vulnérabilité affecte également les pare-feu SRX si le service ICAP est activé et peut être exploité à l’aide de messages HTTP malveillants.

Une demi-douzaine des vulnérabilités ont été évaluées gravité élevée et tous peuvent être exploités pour des attaques DoS, y compris des attaques soutenues. Les failles de gravité moyenne peuvent également être exploitées pour les attaques DoS.

Juniper Networks déclare ne pas avoir connaissance d’attaques exploitant les vulnérabilités corrigées cette semaine.

La société a également corrigé des dizaines de vulnérabilités affectant les composants tiers, y compris des problèmes résolus il y a des années par leurs développeurs. La liste comprend OpenSSL, le firmware Intel, Bouncy Castle, Java SE, le logiciel Apache et autres.

Le mois dernier, plus d’une douzaine de responsables américains ont envoyé une lettre à Juniper pour lui demander les résultats de l’enquête lancée en 2015 suite à la découverte d’une porte dérobée dans ses produits. L’entreprise a eu un mois pour répondre à huit questions et le délai …