Vulnerabilidad en el almacenamiento de hashes de contraseñas en el archivo /etc/passwd en el contenedor Juniper Device Manager (JDM) en los dispositivos Juniper Networks NFX350 Series (CVE-2020-1669)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
16/10/2020
Última modificación:
27/10/2020
Descripción
El contenedor Juniper Device Manager (JDM), utilizado por la arquitectura de Junos OS desagregado en los dispositivos Juniper Networks NFX350 Series, almacena hashes de contraseña en el archivo /etc/passwd de tipo world-readable. Esta no es una de las mejores prácticas de seguridad actuales, ya que puede permitir a un atacante con acceso al sistema de archivos local la capacidad de descifrar por fuerza bruta los hashes de contraseña almacenados en el sistema. Este problema afecta a Juniper Networks Junos OS en NFX350: versiones 19.4 anteriores a 19.4R3; versiones 20.1 anteriores a 20.1R1-S4, 20.1R2
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:juniper:junos:19.4:r1:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:junos:19.4:r1-s1:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:junos:19.4:r1-s2:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:junos:19.4:r2:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:junos:20.1:r1:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:junos:20.1:r1-s1:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:junos:20.1:r1-s2:*:*:*:*:*:* | ||
| cpe:2.3:o:juniper:junos:20.1:r1-s3:*:*:*:*:*:* | ||
| cpe:2.3:h:juniper:nfx350:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página