Vulnerabilidad en la implementación de cifrado en Juniper ScreenOS (CVE-2015-7756)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
19/12/2015
Última modificación:
12/04/2025
Descripción
La implementación de cifrado en Juniper ScreenOS 6.2.0r15 hasta la versión 6.2.0r18, 6.3.0r12 en versiones anteriores a 6.3.0r12b, 6.3.0r13 en versiones anteriores a 6.3.0r13b, 6.3.0r14 en versiones anteriores a 6.3.0r14b, 6.3.0r15 en versiones anteriores a 6.3.0r15b, 6.3.0r16 en versiones anteriores a 6.3.0r16b, 6.3.0r17 en versiones anteriores a 6.3.0r17b, 6.3.0r18 en versiones anteriores a 6.3.0r18b, 6.3.0r19 en versiones anteriores a 6.3.0r19b y 6.3.0r20 en versiones anteriores a 6.3.0r21 facilita a atacantes remotos descubrir en texto plano el contenido de las sesiones VPN mediante el rastreo de la red en busca de datos de texto cifrados y llevar a cabo un ataque de descifrado no especificado.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:juniper:screenos:6.2.0r15:*:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.2.0r16:*:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.2.0r17:*:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.2.0r18:*:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r12:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r14:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r15:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r16:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r17:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r18:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r19:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:screenos:6.3.0:r20:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713
- http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/
- http://www.kb.cert.org/vuls/id/640184
- http://www.securitytracker.com/id/1034489
- http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/
- https://adamcaudill.com/2015/12/17/much-ado-about-juniper/
- https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
- https://github.com/hdm/juniper-cve-2015-7755
- http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713
- http://www.forbes.com/sites/thomasbrewster/2015/12/18/juniper-says-it-didnt-work-with-government-to-add-unauthorized-code-to-network-gear/
- http://www.kb.cert.org/vuls/id/640184
- http://www.securitytracker.com/id/1034489
- http://www.wired.com/2015/12/juniper-networks-hidden-backdoors-show-the-risk-of-government-backdoors/
- https://adamcaudill.com/2015/12/17/much-ado-about-juniper/
- https://forums.juniper.net/t5/Security-Incident-Response/Important-Announcement-about-ScreenOS/ba-p/285554
- https://github.com/hdm/juniper-cve-2015-7755