[TLP:CLEAR] Juniper Junos OS opravuje středně závažnou zranitelnost
Juniper Networks opravuje středně závažnou zranitelnost v Junos OS [1]. Opravené verze produktu: 21.2R3-S9 (budoucí vydání), 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4 (budoucí vydání), 24.2R1-S2, 24.2R2, 24.4R1.
Autentizovanému lokálnímu útočníkovi s přístupem k shellu je kvůli nesprávné izolaci/kompartmentaci komponent v kernelu umožněno spustit kód a kompromitovat integritu stroje [1]. Společnost kromě aktualizace na opravenou verzi, je-li dostupná, důrazně doporučuje omezit přístup k shellu pouze na důvěryhodné uživatele. Juniper potvrdil nejméně jeden případ aktivního zneužití této zranitelnosti. Zranitelnost není zneužitelná z CLI rozhraní Junos.
Zranitelnost se nachází v produktu Junos OS ve verzích (<21.2R3-S9) OR (>=21.4 AND <21.4R3-S10) OR (>=22.2 AND <22.2R3-S6) OR (>=22.4 AND <22.4R3-S6) OR (>=23.2 AND <23.2R2-S3) OR (>=23.4 AND <23.4R2-S4) OR (>=24.2 AND <24.2R1-S2) OR (>24.2R1-S2 AND <24.2R2).
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-21590 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-653: Improper Isolation or Compartmentalization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 3. 2025.
Za CESNET-CERTS Michaela Ručková dne 14. 3. 2025.
