聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
网络硬件公司 Juniper Networks 发布“周期外”安全更新,修复位于 Junos OS的 J-Web 组件中的多个漏洞。攻击者可组合利用这些漏洞在易受攻击设备上实现远程代码执行。
这四个漏洞的CVSS评分均为 9.8,属于“严重”漏洞,影响 SRX 和 EX 序列上 Junos OS 所有版本。
2023年8月17日,Juniper 公司指出,“通过组合利用这些漏洞,未认证的网络攻击者可在设备上远程执行代码。” J-Web 接口可使用户配置、管理和监控 Junos OS 设备。这些漏洞简述如下:
CVE-2023-36844和CVE-2023-36845(CVSS评分5.3)是位于 J-Web 中的两个 PHP 外部变量修改漏洞,可使未认证的网络攻击者控制某些重要的环境变量。
CVE-2023-36846和CVE-2023-36847(CVSS评分5.3)是位于 Jniper Networks Junos OS 中的两个关键函数缺乏认证漏洞,可导致未认证的网络攻击者对文件系统完整性造成有限影响。
威胁着可发送特殊构造的请求,修改某些 PHP 环境变量或者通过 J-Web上传任意文件,成功利用上述问题。
这些漏洞已在如下版本中修复:
EX 系列:Junos OS 版本 20.4R3-S8、 21.2R3-S6、 21.3R3-S5、 21.4R3-S4、 22.1R3-S3、 22.2R3-S1、 22.3R2-S2、 22.3R3、 22.4R2-S1、 22.4R3和23.2R1。
SRX 系列:Junos OS 版本20.4R3-S8、21.2R3-S6、21.3R3-S5、21.4R3-S5、22.1R3-S3、22.2R3-S2、 22.3R2-S2、 22.3R3、22.4R2-S1、22.4R3和23.2R1。
建议用户应用必要修复方案,缓解潜在的远程代码执行威胁。Juniper Networks 公司建议用户禁用 J-Web 或仅允许访问受信任主机,作为缓解措施。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
奇安信发布《2023中国软件供应链安全分析报告》开源软件供应链的系统化安全治理需加速落地
Juniper Networks 修复开源操作系统 Junos OS 等中的多个严重漏洞
原文链接
https://thehackernews.com/2023/08/new-juniper-junos-os-flaws-expose.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~