UPDATE: DFN-CERT-2018-0077 Juniper Junos Space: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Netzwerk]

UPDATE: DFN-CERT-2018-0077 Juniper Junos Space: Mehrere Schwachstellen ermöglichen u.a. die komplette Systemübernahme [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (15.01.2018):
Juniper hat sein Security Advisory JSA10838 aktualisiert und die mit dem
PostgreSQL Upgrade (PR 1320984) adressierten Schwachstellen CVE-2017-12172
und CVE-2017-15098 ergänzt, die einem entfernten, nicht authentisierten
Angreifer die Manipulation von Dateien und einem entfernten, einfach
authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff und
möglicherweise das Ausspähen von Informationen ermöglichen.
Version 1 (11.01.2018):
Neues Advisory

Betroffene Software:

Juniper Junos Space < 17.2R1 Betroffene Plattformen: Juniper Junos Space Es existieren mehrere Schwachstellen im Junos Space Security Director and Log Collector, in Junos Space sowie den enthaltenen Komponenten Apache Commons Collections, Apache HTTP-Server (httpd), Apache Log4, Apache Tomcat, JBoss Enterprise Application Platform (EAP), dessen Webkonsole, dem JGroups Framework, dem Linux-Kernel, OpenSSH und rpcbind. Diese ermöglichen auch einem entfernten, nicht authentisierten Angreifer das Erlangen von Administratorrechten, d.h. die komplette Kompromittierung des Systems, die Ausführung beliebigen Programmcodes, die Durchführung von Cross-Site-Scripting (XSS)-, Cross-Site-Request-Forgery (CSRF)- und von verschiedenen Denial-of-Service (DoS)-Angriffen, das Umgehen von Sicherheitsvorkehrungen sowie das Ausspähen von Informationen. Juniper stellt zur Behebung dieser Schwachstellen Junos Space sowie den Junos Space Security Director und Log Collector in der Version 17.2R1 bereit. Patch: Juniper Security Bulletin JSA10838 https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10838

Patch:

Juniper Security Bulletin JSA10840

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10840

CVE-2018-0013: Schwachstelle in Junos Space ermöglicht Ausspähen von
Informationen

In der Juniper Networks Junos Space Network Management Platform existiert
eine ‘Local File Inclusion’-Schwachstelle. Ein entfernter, einfach
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Dateien von
dem System zu erlangen.

CVE-2018-0012: Schwachstelle in Junos Space ermöglicht Erlangen von
Administratorrechten

In Junos Space existiert eine Schwachstelle, die von einem lokalen, einfach
authentisierten Angreifer zur Durchführung einer Privilegieneskalation auf
‘Root’-Rechte ausgenutzt werden kann.

CVE-2018-0011: Schwachstelle in Junos Space ermöglicht
Cross-Site-Scripting-Angriff

In Junos Space existiert eine Reflected Cross-Site-Scripting
(XSS)-Schwachstelle. Ein entfernter, einfach authentisierter Angreifer kann
diese Schwachstelle möglicherweise ausnutzen, um beliebige Web-Scripts oder
HTML einzuschleusen, sensitive Daten und Credentials von einer Sitzung
auszuspähen und administrative Aktionen auf dem Junos Space Network
Management Device durchzuführen.

CVE-2018-0010: Schwachstelle in Juniper Networks Junos Space Security
Director ermöglicht Erlangen von Administratorrechten

Im Juniper Networks Junos Space Security Director existiert eine
Schwachstelle, da ein Benutzer ohne SSH-Zugriff auf ein Gerät die für diesen
Zweck für einen anderen Benutzer erzeugte URL wiederverwenden kann. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um SSH-Zugriff auf ein Gerät und damit möglicherweise
Administratorrechte zu erlangen.

CVE-2017-15098: Schwachstelle in PostgreSQL ermöglicht
Denial-of-Service-Angriff

In den Funktionen ‘json_populate_recordset’ und ‘jsonb_populate_recordset’
in PostgreSQL wird der Typ des Ergebnisses einer ‘FROM … AS’-Anweisung
benutzt, ohne zu überprüfen, ob er mit dem tatsächlichen Reihen-Typ des
angegebenen Tupels übereinstimmt. Falls die Typen verschieden sind, kann es
zum Programmabsturz oder möglicherweise zur Offenlegung von Speicher des
Servers kommen. Ein entfernter, einfach authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen und möglicherweise Informationen
ausspähen.

CVE-2017-12172: Schwachstelle in PostgreSQL ermöglicht Manipulation von
Dateien

Beispielskripte für das Starten des Servers in PostgreSQL öffnen die
Postmaster-Protokolldatei mit den Rechten des Administratorbenutzers ‘root’,
wodurch der Besitzer einer Datenbank mit Hilfe einer symbolischen
Dateiverknüpfung zu beliebigen Dateien des Systems diese durch angehängte
Protokolldaten zerstören kann. Diese Beispielskripte werden nicht durch
PostgreSQL installiert. Der Hersteller stuft die Schwachstelle mit der
höchsten Kategorie ‘A’ ein, die für die Eskalation von Privilegien ohne
vorherigen Login steht. Ein entfernter, nicht authentisierter Angreifer kann
demnach Dateien manipulieren.

CVE-2017-9798: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Ausspähen von Informationen

Wenn die ‘Limit’-Direktive in der ‘.htaccess’-Datei eines Benutzers gesetzt
werden kann oder wenn die ‘httpd.conf’ bestimmte Fehlkonfigurationen
enthält, existiert eine Schwachstelle in Apache HTTP-Server (httpd) bis
einschließlich der Version 2.2.34 und in den Versionen 2.4.x bis
einschließlich 2.4.27 durch Verwendung einer ungültigen HTTP-Methode.
Dadurch kann bei der Erstellung der ‘Allow’-Kopfdatei, die als Antwort auf
eine an den HTTP-Server gesandte ‘HTTP OPTIONS’-Anfrage von diesem zurück
gesendet wird, ein Use-after-free-Fehler verursacht werden, wodurch
Speicherinhalte des Serverprozessspeichers in die Kopfdatei geschrieben und
so offengelegt werden. Bei den offengelegten Speicherinhalten kann es sich
auch um sensitive Informationen des HTTP-Server handeln.

CVE-2017-14106: Schwachstelle in Linux-Kernel ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘tcp_disconnect’ in ‘net/ipv4/tcp.c’ im Linux-Kernel vor
Version 4.12 erlaubt über das Anstoßen (Triggern) eines Verbindungsabbaus
(Disconnect) innerhalb eines bestimmten ‘tcp_recvmsg’-Code-Pfades eine
Division durch Null und damit einen Systemabsturz zu bewirken. Ein lokaler,
nicht authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff
durchführen.

CVE-2017-1000112: Schwachstelle in Linux-Kernel ermöglicht Systemübernahme

Im Linux-Kernel existiert eine Speicherkorruptions-Schwachstelle beim
Erstellen von UDP Fragmentation Offload (UFO)-Datenpaketen mit der Option
‘MSG_MORE’. Die Funktion ‘__ip_append_data’ ruft dabei die Funktion
‘ip_ufo_append_data’ auf, um Daten anzufügen. Dabei kann es zwischen zwei
‘send’-Aufrufen dazu kommen, dass der Pfad zum Anfügen der Daten (Append
Path) von ‘UFO’ auf ‘non-UFO’ wechselt. In der Folge tritt eine
Speicherkorruption auf, weil UFO-Datenpakete die maximale Größe eines
unfragmentierten Datenpakets (Maximum Transmission Unit, MTU) überschreiten
und im Kontext eines ‘non-UFO’-Pfades dadurch außerhalb der zulässigen
Speichergrenzen in den Pufferspeicher geschrieben wird. Ein lokaler, einfach
authentisierter Angreifer kann durch das Ausnutzen der Schwachstelle
beliebigen Programmcode zur Ausführung bringen und die Kontrolle über ein
System vollständig übernehmen.

CVE-2017-1000111: Schwachstelle in Linux-Kernel ermöglicht Systemübernahme

Aufgrund der Art und Weise, wie die Socket-Implementierung für Rohpakete mit
Synchronisierungen umgeht, existiert eine ausnutzbare Wettlaufsituation
(Race Condition) im Netzwerk-Subsystem des Linux-Kernels. Ein lokaler,
einfach authentisierter Benutzer, der über die Möglichkeit verfügt, ein
Rohpaket-Socket zu öffnen, wofür die Fähigkeit ‘CAP_NET_RAW’ nötig ist, kann
durch das Ausnutzen der Schwachstelle auf bereits freigegebenen Speicher
zugreifen (Use-after-Free), dadurch seine Privilegien eskalieren und das
System möglicherweise komplett kompromittieren.

CVE-2017-9788: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Ausspähen von Informationen

Der Werteplatzhalter in Proxy-Authorization-Kopfdaten des Typs ‘Digest’ wird
vor oder zwischen aufeinanderfolgenden Zuweisungen der Art ‘key=value’ von
‘mod_auth_digest’ nicht initialisiert oder zurückgesetzt. Durch eine
geeignete Anfrage lässt sich so der Zustandswert aus dem geteilten Speicher
aus einer vorherigen Anfrage in Erfahrung bringen. Ein entfernter, nicht
authentisierter Angreifer kann dadurch möglicherweise sensitive
Informationen ausspähen. Die Folge eines solchen Zugriffs kann auch eine
Zugriffsverletzung sein (Segmentation Fault), wodurch ein Denial-of-Service
(DoS)-Angriff möglich ist.

CVE-2017-7679: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff oder Ausspähen von Informationen

Eine Schwachstelle in Apache HTTP-Server (httpd) bewirkt, dass ‘mod_mime’
beim Versenden eines bösartig präparierten Content-Type-Response-Headers ein
Byte über das Ende eines Pufferspeichers lesen kann (Buffer Overrread). Ein
entfernter, nicht authentisierter Angreifer kann durch das Ausnutzen der
Schwachstelle eine Speicherschutzverletzung (Segmentation Fault) auslösen,
wodurch ein Denial-of-Service (DoS)-Zustand eintritt, oder Informationen
ausspähen.

CVE-2017-7668: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff oder Ausspähen von Informationen

Mit den in den Apache HTTP-Server (httpd) Versionen 2.2.32 und 2.4.24
durchgeführten Änderungen zur ‘HTTP Strict’-Verarbeitung wurde eine
Schwachstelle in die Token-Listen Verarbeitung eingeführt, welche es der
Funktion ‘ap_find_token()’ ermöglicht über das Ende einer eingegebenen
Zeichenkette hinaus zu suchen (Buffer Overread). Ein entfernter, nicht
authentisierter Angreifer kann dies über eine bösartig präparierte Sequenz
von Anfrage-Headern ausnutzen und eine Speicherschutzverletzung
(Segmentation Fault) auslösen, wodurch ein Denial-of-Service (DoS)-Zustand
eintritt, oder die Funktion ‘ap_find_token()’ zwingen falsche Werte zurück
zu liefern, wodurch er Informationen ausspähen kann.

CVE-2017-3169: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Denial-of-Service-Angriff

Ruft ein Drittanbieter-Modul in Apache HTTP-Server (httpd) die Funktion
‘ap_hook_process_connection’ auf, wenn eine HTTP-Anfrage auf einem
HTTPS-Port eingeht, kann eine NULL-Zeiger-Dereferenzierung durch ‘mod_ssl’
provoziert werden. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service (DoS)-Angriff durchführen.

CVE-2017-3167: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Wird die Funktion ‘ap_get_basic_auth_pw’ durch Drittanbieter-Module
außerhalb der Authentifizierungsphase verwendet, ist es möglich
Authentifizierungsanforderungen in Apache HTTP-Server (httpd) zu umgehen.
Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.

CVE-2017-5664: Schwachstelle in Apache Tomcat ermöglicht Umgehen von
Sicherheitsvorkehrungen

Apache Tomcats ‘Default Servlet’ verarbeitet Fehlerseiten, die auf einer
statischen Datei basieren, fehlerhaft, da diese nicht wie erwartet wie eine
gewöhnliche GET-Anfrage ohne Berücksichtigung der verwendeten HTTP-Methode
verarbeitet werden. In Abhängigkeit der ursprünglichen Anfrage kann dieses
zu einem unerwarteten und unerwünschten Verhalten führen, was, wenn das
Default Servlet Schreibvorgänge erlaubt, auch das Überschreiben der
Fehlerseite beinhalten kann. Ein entfernter, nicht authentisierter Angreifer
kann dadurch Sicherheitsvorkehrungen umgehen.

Im Kontext des Oracle Critical Patch Update Advisory October 2017 existiert
diese Schwachstelle in der Subkomponente Monitoring: General (Apache Tomcat)
des MySQL Enterprise Monitors in den Versionen 3.2.8.2223 und früheren,
3.3.4.3247 und früheren und 3.4.2.4181 und früheren und wird im Kontext von
Oracle MySQL erwähnt und behoben.

CVE-2017-5645: Schwachstelle in Apache Log4j ermöglicht Ausführung
beliebigen Programmcodes

In Apache Log4j existiert eine Schwachstelle, die, wenn der TCP- oder der
UDP-Socketserver zum Empfang serialisierter Log-Daten verwendet werden, bei
der Deserialisierung speziell präparierter Binärdaten die Ausführung
beliebigen Programmcodes ermöglicht. Ein entfernter, nicht authentisierter
Angreifer kann beliebigen Programmcode zur Ausführung bringen.

CVE-2016-8743: Schwachstelle in Apache HTTP-Server (httpd) ermöglicht
Umgehen von Sicherheitsvorkehrungen

Durch die unzureichende Umsetzung von RFC7230 im Umgang mit Leerzeichen und
durch Interpretation verschiedener Steuerzeichen als Leerzeichen
(Whitespace) besteht eine Schwachstelle in Apache HTTP-Server bei der
Interaktion mit einer Proxy-Kette oder einem Backend-Server über ‘mod_proxy’
oder konventionelle CGI-Mechanismen. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle ausnutzen und mit speziell präparierten
Anfrage-Kopfdaten (Request-Header) verschiedene Antworten von einem Server
hinter einem Proxy-Agent erzeugen, wodurch der Proxy-Cache verunreinigt wird
(Cache Poisoning) oder Inhalte umgelenkt werden können.

Im Kontext der Komponente Secure Global Desktop (Subkomponente: Web Server
(Apache HTTP Server)) von Oracle Virtualization ist diese Schwachstelle
schwer auszunutzen und ermöglicht unautorisierten Lesezugriff auf ein Subset
der über Secure Global Desktop erreichbaren Daten.

CVE-2016-2141: Schwachstelle in JGroups ermöglicht u.a. Ausspähen von
Informationen

Das JGroups Framework stellt die Funktionalität zur
Peer-to-Peer-Kommunikation zwischen Knoten (Nodes) in einem JBoss-Cluster
zur Verfügung. Es besteht eine Schwachstelle in JGroups, da die zur
Verschlüsselung und Authentifizierung notwendigen Kopfdaten von neuen Nodes
im Cluster nicht angefordert werden. Ein entfernter, nicht authentifizierter
Angreifer kann dadurch Sicherheitsvorkehrungen umgehen und Nachrichten
innerhalb des Clusters unautorisiert senden und empfangen, wodurch das
Ausspähen von Informationen, das Fälschen von Nachrichten und in der Folge
weitere Angriffe möglich sind.

CVE-2015-5174: Schwachstelle in Apache Tomcat ermöglicht Ausspähen von
Informationen

Beim Zugriff auf Ressourcen durch die Funktionen ‘ getResource()’,
‘getResourceAsStream()’ und ‘ getResourcePaths()’ aus ‘ServletContext’
werden bestimmte relative Pfadangaben als Parameter nicht zurückgewiesen.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer
Web-Anwendung, die unter einem Sicherheits-Manager (Security Manager) läuft,
den Inhalt des Verzeichnisses, in dem die angegriffene Web-Anwendung
erstellt wurde, ermitteln.

CVE-2015-5304: Schwachstelle in JBoss EAP ermöglicht Denial-of-Service

Eine Schwachstelle in der Red Hat JBoss Enterprise Application Platform
(EAP) basiert auf einer unzureichenden Prüfung der Autorisierung für das
Herunterfahren des EAP Servers. Ein entfernter, authentisierter Benutzer mit
den Rollen ‘Monitor’, ‘Deployer’ oder ‘Auditor’ kann diese Schwachstelle
ausnutzen, um den EAP Server herunterzufahren (shut down), obwohl diese
Aktion auf Administratoren beschränkt sein sollte, wodurch ein
Denial-of-Service (DoS)-Zustand herbeigeführt wird.

CVE-2015-7501: Schwachstelle in Apache Commons Collections ermöglicht
Ausführen beliebigen Programmcodes

Eine Schwachstelle in der Apache Commons Collections Java Bibliothek führt
dazu, dass eine Applikation, die speziell präparierte serialisierte Objekte
als Benutzereingabe ungeprüft akzeptiert sowie die Commons Collections im
Java “classpath” hat, dazu gebracht werden kann, beliebigen Programmcode mit
den Rechten der Anwendung auszuführen. Der Fehler liegt in der Art und
Weise, wie die Deserialisierung der Daten durch die Java InvokerTransformer
Klasse durchgeführt wird.

Die Commons Collections Java Bibliothek ist Bestandteil von vielen
Produkten, die dementsprechend verwundbar sind. Dazu zählen Jenkins, IBM
WebSphere, Oracle WebLogic und viele weitere.

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebigen Programmcode auszuführen.

Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
leicht ausnutzbare Schwachstelle in diversen Komponenten verschiedener
Oracle Produkte. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle über das HTTP-Protokoll ausnutzen und die jeweils betroffene
Komponente kompromittieren und vollständig übernehmen.

CVE-2015-5220: Schwachstelle in Webkonsole ermöglicht
Denial-of-Service-Angriff

Es existiert eine Schwachstelle in der Webkonsole von JBoss Enterprise
Application Platform (EAP) und JBoss Operations Network, die durch eine
ungenügende Überprüfung der Header-Längen von Anfragen hervorgerufen wird.
Dies kann einen Java OutOfMemoryError in der HTTP Management Schnittstelle
auslösen, wodurch die Applikation in einen Denial-of-Service-Zustand
versetzt wird. Ein entfernter, nicht authentifizierter Angreifer kann, durch
das Versenden von Anfragen mit großen Headern, einen
Denial-of-Service-Angriff gegen eine Webkonsole einer JBoss Enterprise
Application Platform / eines JBoss Operations Networks durchführen.

CVE-2015-5188: Schwachstelle in JBoss Enterprise Application Platform
ermöglicht Cross-Site-Request-Forgery-Angriff

Es existiert eine Schwachstelle in der Webkonsole der JBoss Enterprise
Application Platform, die durch einen fehlenden Sicherheitsmechanismus in
der Upload-Funktion, unter Verwendung der Multipart/Form-Data Vorlage,
hervorgerufen wird. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen und einen Cross-Site-Forgery-Angriff
durchführen, wodurch dieser in der Lage ist, Änderungen an einer
authentifizierten Instanz vorzunehmen.

CVE-2015-7236: Schwachstelle in rpcbind erlaubt Denial-of-Service

Die Funktion “PMAP_CALLIT” in rpcbind enthält eine nicht näher beschriebene
Use-after-free-Schwachstelle. Durch Ausnutzen dieser Schwachstelle kann der
rpcbind-Prozess zum Absturz gebracht werden. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2015-6564: Schwachstelle in OpenSSH Portable ermöglicht Ausführen
beliebigen Programmcodes

Es existiert eine Use-after-free-Schwachstelle in OpenSSH Portable in Bezug
auf die Unterstützung von Pluggable Authentication Modulen (PAM), die es
einem lokalen, nicht authentisierten Angreifer ermöglicht den Prozess der
Vor-Authentisierung zu kompromittieren und dadurch freigegebenen Speicher
für die Ausführung beliebigen Programmcodes zu verwenden.

CVE-2015-6563: Schwachstelle in OpenSSH Portable ermöglicht Erlangen von
Benutzerrechten

Es existiert eine Schwachstelle bei der Trennung von Privilegien in OpenSSH
Portable in Bezug auf die Unterstützung von Pluggable Authentication Modulen
(PAM), welche es einem Angreifer ermöglicht den Prozess der
Vor-Authentisierung zu kompromittieren und beliebigen Programmcode
auszuführen, um dadurch die Identität anderer Benutzer zu übernehmen. Um die
Schwachstelle erfolgreich auszunutzen, muss ein Angreifer ein gültiges
Benutzerkonto auf einem Zielsystem besitzen. Ein lokaler, nicht
authentifizierter Angreifer kann die Rechte anderer Benutzer erlangen.

CVE-2015-5600: Schwachstelle in OpenSSH erlaubt das Umgehen von
Sicherheitsmechanismen

Eine Schwachstelle in OpenSSH basiert auf einer fehlerhaften Anwendung der
Beschränkung der Anzahl von Anmeldeversuchen, die in der Konfigurationsdatei
sshd_config mit der Option “MaxAuthTries” standardmäßig auf 6 Versuche
eingestellt ist. Die Benutzung des Clients mit der Option
“-oKbdInteractiveDevices=” und einer beliebigen Anzahl von Eingabemethoden
wird vom Server bereitwillig akzeptiert und für jede Methode die
Eingabeaufforderung für das Passwort gestartet. In Folge der Schwachstelle
ist es möglich, beliebig viele Passwortabfragen zu generieren bis die
Zeitspanne der “LoginGraceTime”, die üblicherweise 120 Sekunden beträgt,
erreicht ist. Dadurch wird die Effizienz eines Brute-Force-Angriffs, um an
das Passwort eines autorisierten Benutzers zu gelangen, erheblich
verbessert. Vorkonfiguriert ist “KbdInteractiveAuthentication” Server-seitig
in der Regel auf die selbe Einstellung wie
“ChallengeResponseAuthentication”, d.h. sie ist auf “no” gestellt. Zu
beachten ist allerdings, dass das Fehlen oder Auskommentieren der Option
“ChallengeResponseAuthentication” nicht das Deaktivieren der
“ChallengeResponseAuthentication” bedeutet, denn der Standardwert dieser
Option ist “yes”. Die Schwachstelle betrifft also nur Systeme, in denen die
Standardkonfiguration von OpenSSH verändert wurde. Weiterhin schränkt die
Benutzung von PAM als Eingabemethode die Effizienz dieses Angriffs wieder
ein, da PAM selber Verzögerungen zwischen zwei Passworteingaben erzwingen
kann. Ein entfernter, nicht authentisierter Angreifer kann
Sicherheitsvorkehrungen umgehen und die Effizienz eines Brute-Force-Angriffs
erhöhen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0077/

Schwachstelle CVE-2015-5600 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5600

Schwachstelle CVE-2015-6563 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6563

Schwachstelle CVE-2015-6564 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6564

Schwachstelle CVE-2015-7236 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7236

Schwachstelle CVE-2015-5188 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5188

Schwachstelle CVE-2015-5220 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5220

Schwachstelle CVE-2015-7501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7501

Schwachstelle CVE-2015-5304 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5304

Schwachstelle CVE-2015-5174 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5174

Schwachstelle CVE-2016-2141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2141

Schwachstelle CVE-2016-8743 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8743

Schwachstelle CVE-2017-5645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5645

Schwachstelle CVE-2017-5664 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5664

Schwachstelle CVE-2017-3167 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3167

Schwachstelle CVE-2017-3169 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3169

Schwachstelle CVE-2017-7668 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7668

Schwachstelle CVE-2017-7679 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7679

Schwachstelle CVE-2017-9788 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9788

Schwachstelle CVE-2017-1000111 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000111

Schwachstelle CVE-2017-1000112 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000112

Schwachstelle CVE-2017-14106 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14106

Schwachstelle CVE-2017-9798 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9798

Schwachstelle CVE-2017-12172 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12172

Schwachstelle CVE-2017-15098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15098

Juniper Security Bulletin JSA10838:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10838

Juniper Security Bulletin JSA10840:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10840

Schwachstelle CVE-2018-0010 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0010

Schwachstelle CVE-2018-0011 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0011

Schwachstelle CVE-2018-0012 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0012

Schwachstelle CVE-2018-0013 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-0013

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben