Junos OS

Die Schwachstelle betrifft Junos OS auf Netzwerk-Switches der EX-Serie von Juniper. Ursache ist eine fehlende Authentifizierung für eine kritische Funktion: Die Datei installAppPackage.php der Web-Verwaltungsoberfläche J-Web lässt sich über eine bestimmte Anfrage ansprechen, ohne dass eine Anmeldung erforderlich ist. Dadurch kann ein nicht authentifizierter Angreifer aus dem Netz beliebige Dateien auf das Gerät hochladen. Das beeinträchtigt die Integrität eines bestimmten Teils des Dateisystems – der Angreifer kann also Dateien einschleusen, wo das eigentlich nicht vorgesehen ist. Für sich genommen ist die unmittelbare Auswirkung begrenzt; die eigentliche Gefahr liegt in der Verkettung: Die Möglichkeit, eigene Dateien abzulegen, lässt sich mit weiteren Schwachstellen kombinieren und so zu einem schwerwiegenderen Angriff ausbauen. Betroffen sind EX-Switches überall dort, wo die J-Web-Oberfläche über das Netzwerk erreichbar ist.