偵測

Juniper Junos Space < 15.1R1 多個弱點 (JSA10698)

critical Nessus Plugin ID 91778

語系:

概要

遠端裝置受到多個弱點的影響。

說明

根據其自我報告的版本號碼,遠端裝置上執行的 Junos Space 版本比 15.1R1 舊。因此,會受到多個弱點影響:

-「mod_session_dbd」模組中存在一個與工作階段儲存作業有關的錯誤,此錯誤是因未考量變更旗標,而未要求新工作階段 ID 所導致。未經驗證的遠端攻擊者可惡意利用這點而造成不明影響。
 (CVE-2013-2249)

- MySQL Server 元件中存在一個與錯誤處理有關的不明瑕疵,其允許遠端攻擊者造成拒絕服務情形。(CVE-2013-5908)

- Apache「mod_dav」模組中存在一個瑕疵,此瑕疵是在追蹤具有前置空格的 CDATA 長度時所產生。未經驗證的遠端攻擊者可惡意利用此瑕疵,透過特製的 DAV WRITE 要求,造成服務停止回應。
 (CVE-2013-6438)

- Apache「mod_log_config」模組中存在一個瑕疵,此瑕疵是在記錄具有未指派值的 cookie 時所產生。未經驗證的遠端攻擊者可惡意利用此瑕疵,透過特製的要求造成服務損毀。(CVE-2014-0098)

- Oracle Java Runtime 的 2D 元件中存在一個與像素操作有關的瑕疵,其允許未經驗證的遠端攻擊者影響可用性、機密性和完整性。(CVE-2014-0429)

- Oracle Java Runtime 的 Security 元件中存在一個與 PKCS#1 取消填補有關的瑕疵,其允許未經驗證的遠端攻擊者得知原應加密保護的計時資訊。(CVE-2014-0453)

- Oracle Java Runtime 的 Hotspot 元件中存在一個與陣列複製有關的爭用情形,其允許未經驗證的遠端攻擊者執行任意程式碼。(CVE-2014-0456)

- Oracle Java Runtime 的 JNDI 元件中存在一個因遺漏查詢 ID 隨機化而導致的瑕疵。未經驗證的遠端攻擊者可惡意利用此弱點發動偽造攻擊。(CVE-2014-0460)

- Mozilla Network Security Services (NSS) 程式庫存在一個瑕疵,此瑕疵是涉及簽章的 ASN.1 值寬鬆剖析所引起,並可能導致偽造 RSA 簽章,例如 SSL 憑證。
 (CVE-2014-1568)

- MySQL Server 元件中存在一個與 CLIENT:SSL:yaSSL 子元件有關的不明瑕疵,其允許遠端攻擊者影響完整性。(CVE-2014-6478)

- MySQL Server 元件中存在多個與 SERVER:SSL:yaSSL 子元件有關的不明瑕疵,其允許遠端攻擊者影響機密性、完整性和可用性。(CVE-2014-6491、CVE-2014-6500)

- MySQL Server 元件中存在多個與 CLIENT:SSL:yaSSL 子元件有關的不明瑕疵,其允許遠端攻擊者造成拒絕服務情形。(CVE-2014-6494、CVE-2014-6495、CVE-2014-6496)

- MySQL Server 元件中存在一個與 C API SSL Certificate Handling 子元件有關的不明瑕疵,其允許遠端攻擊者可能洩漏敏感資訊。(CVE-2014-6559)

- MySQL Server 元件中存在一個與 Server:Compiling 子元件有關的不明瑕疵,其允許經驗證的遠端攻擊者造成拒絕服務情形。(CVE-2015-0501)

- OpenNMS 存在一個 XML 外部實體 (XXE) 插入弱點,此弱點是因 Castor 元件接受來自例外狀況訊息的 XML 外部實體所導致。未經驗證的遠端攻擊者可惡意利用此弱點,透過 RTC post 中特製的 XML 資料存取本機檔案。(CVE-2015-0975)

- MySQL Server 元件中存在一個與 Server:Security:Privileges 子元件有關的不明瑕疵,其允許遠端攻擊者可能洩漏敏感資訊。(CVE-2015-2620)

- 在檔案 hw/net/pcnet.c 的 pcnet_transmit() 函式中,QEMU 存在一個堆積緩衝區溢位情形,此情形是因處理長度大於 4096 位元組的多 TMD 封包時,不當驗證使用者提供的輸入所導致。經驗證的遠端攻擊者可惡意利用此弱點,透過特製的封包,取得從來賓提升至主機的權限。(CVE-2015-3209)

- Junos Space 中存在多個跨網站指令碼 (XSS)、SQL 插入和命令插入弱點,其允許未經驗證的遠端攻擊者執行任意程式碼。(CVE-2015-7753)

解決方案

升級至 Junos Space 15.1R1 版或更新版本。

另請參閱

http://www.nessus.org/u?22595a74

Plugin 詳細資訊

嚴重性: Critical

ID: 91778

檔案名稱: juniper_space_jsa10698.nasl

版本: 1.4

類型: local

已發布: 2016/6/23

已更新: 2018/7/12

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: cpe:/a:juniper:junos_space

必要的 KB 項目: Host/Junos_Space/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/10/14

弱點發布日期: 2013/7/19

參考資訊

CVE: CVE-2013-2249, CVE-2013-5908, CVE-2013-6438, CVE-2014-0098, CVE-2014-0429, CVE-2014-0453, CVE-2014-0456, CVE-2014-0460, CVE-2014-1568, CVE-2014-6478, CVE-2014-6491, CVE-2014-6494, CVE-2014-6495, CVE-2014-6496, CVE-2014-6500, CVE-2014-6559, CVE-2015-0501, CVE-2015-0975, CVE-2015-2620, CVE-2015-3209, CVE-2015-7753

BID: 61379, 64896, 66303, 66856, 66877, 66914, 66916, 70116, 70444, 70469, 70478, 70487, 70489, 70496, 70497, 74070, 75123, 75837

JSA: JSA10698