CERT-FI haavoittuvuustiedote 119/2008

3.10.2008

Juniper Networks NetScreen ScreenOS-käyttöjärjestelmässä haavoittuvuus

Kohde:	- verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Juniper Networks NetScreen ScreenOS on Juniperin palomuuri- ja VPN-laitteiden käyttöjärjestelmä. Käyttöjärjestelmän web- ja telnet-käyttöliittymien sisäänkirjautumistoiminnosta on löytynyt XSS-haavoittuvuus, jota hyväksikäyttämällä on mahdollista sisällyttää hyökkääjän haluamaa javascript-koodia järjestelmän lokitiedostoon. Tämä javascript-koodi suoritetaan käyttäjän koneella hänen selatessaan myöhemmin lokitiedostoa.

HAAVOITTUVAT OHJELMISTOT:

• Juniper Netscreen ScreenOS versio 5.4.0r9.0

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä laitteen käyttöjärjestelmä uusimpaan versioon.

LISÄTIETOA:

• http://www.securityfocus.com/archive/1/496931
• https://www.juniper.net/alerts/viewalert.jsp?actionBtn=Search&txtAlertNumber=PSN-2008-09-009&viewMode=view
• http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/screenos_slash_screenos_5_4_0_ipv6/index.html

PÄIVITYSHISTORIA:

3.10.2008, kello 14.06: Julkaistu

Sivua päivitetty 03.10.2008

Tulostusversio