Juniper修复 Junos OS、Junos OS Evolved 和第三方组件中的数十个漏洞

Juniper发布补丁，修复其 Junos OS 和 Junos OS Evolved 网络操作系统中的数十个漏洞，其中包括多个第三方软件组件中的多个缺陷。

已宣布修复大约十几个影响数据包转发引擎（PFE）、路由协议守护进程（RPD）、路由引擎（RE）、内核和 HTTP 守护进程等组件的高严重性安全缺陷。

据Juniper称，基于网络未经身份验证的攻击者可以发送格式错误的 BGP 数据包或更新、特定的 HTTPS 连接请求、精心设计的 TCP 流量和 MPLS 数据包来触发这些漏洞并导致拒绝服务 (DoS) 情况。

还发布了针对影响 PFE、RPD、PFE 管理守护进程 (evo-pfemand)、命令行界面 (CLI)、AgentD 进程、数据包处理、流处理守护进程 (flowd) 和本地地址验证 API 等组件的多个中等严重程度问题的补丁。

成功利用这些漏洞可以让攻击者造成 DoS 情况、访问敏感信息、完全控制设备、给下游 BGP 对等体造成问题或绕过防火墙过滤器。

Juniper 还宣布针对影响 C-ares、Nginx、PHP 和 OpenSSL 等第三方组件的漏洞的补丁。

Nginx 修复了 14 个漏洞，包括两个已知七年多的严重漏洞（CVE-2016-0746 和 CVE-2017-20005）。

Juniper 已在 Junos OS Evolved 版本 21.2R3-S8-EVO、21.4R3-S9-EVO、22.2R3-S4-EVO、22.3R3-S3-EVO、22.4R3-S3-EVO、23.2R2-S2-EVO、23.4R1-S2-EVO、23.4R2-EVO、24.2R1-EVO、24.2R2-EVO 以及所有后续版本中修补了这些漏洞。

Junos OS 版本 21.2R3-S8、21.4R3-S8、22.1R3-S6、22.2R3-S4、22.3R3-S3、22.4R3-S4、23.2R2-S2、23.4R1-S2、23.4R1-S2、23.4R2-S1、24.2R1 以及所有后续版本也包含这些修复。

Juniper 还宣布针对 Junos Space 中高严重性命令注入缺陷的补丁，该缺陷可能允许未经身份验证的基于网络的攻击者通过精心设计的请求执行任意 shell 命令，以及 OpenSSH 中的 OS 命令问题。

该公司表示，尚未发现这些漏洞已被利用。

更多信息请参阅Juniper的安全公告

https://supportportal.juniper.net/s/global-search/%40uri?language=en_US

链接：

https://www.securityweek.com/juniper-networks-patches-dozens-of-vulnerabilities/

讲述普通人能听懂的安全故事