Vulnerabilidad en la opción ftps-extensions en la FTP ALG en los servicios SRX en el servidor FTPS (CVE-2015-5361)

Background por lo regular en, el trafico FTP no cifrado, el ALG FTP puede inspeccionar el canal de control no cifrado y abrir sesiones relacionadas para el canal de datos FTP. Estas sesiones relacionadas (gates) son específicas para las IPs de origen y destino y los puertos del cliente y del servidor. La intención del diseño de la opción ftps-extensions (que está desactivada por defecto) es proporcionar una funcionalidad similar cuando el SRX asegura el cliente FTP/FTPS. Como el canal de control está cifrado, el ALG de FTP no puede inspeccionar la información específica del puerto y abrirá un canal de datos TCP más amplio (puerta) desde la IP del cliente a la IP del servidor en todos los puertos TCP de destino. En entornos de clientes FTP/FTPS a una red empresarial o a Internet, este es el comportamiento deseado, ya que permite escribir la política del cortafuegos a los servidores FTP/FTPS en puertos de control conocidos sin utilizar una política con IP de destino ANY y puerto de destino ANY. Problema La opción ftps-extensions no está pensada ni recomendada cuando el SRX protege el servidor FTPS, ya que la sesión de canal de datos amplio (puerta) permitirá al cliente FTPS acceder temporalmente a todos los puertos TCP del servidor FTPS. La sesión de datos está asociada al canal de control y se cerrará cuando se cierre la sesión del canal de control. Dependiendo de la configuración del servidor FTPS, del balanceador de carga que lo soporta y de los valores de tiempo de espera de inactividad del SRX, el servidor/balanceador de carga y el SRX pueden mantener el canal de control abierto durante un periodo de tiempo prolongado, permitiendo el acceso de un cliente FTPS durante un periodo igual. Nota la opción ftps-extensions no está habilitada por defecto