CISA 敦促修复瞻博网络产品中的多个关键缺陷
CISA 敦促修复瞻博网络产品中的多个关键缺陷
CISA 敦促管理员在瞻博网络产品中应用最近发布的修复程序,包括 Junos Space、Contrail Networking 和 NorthStar 控制器。
CISA 敦促用户和管理员查看瞻博网络 安全公告页面 并应用可用于某些产品的安全更新,包括 Junos Space、Contrail Networking 和 NorthStar 控制器。
威胁参与者可以利用其中一些漏洞来接管受影响的系统。
“瞻博网络已发布安全更新,以解决影响多个产品的漏洞。攻击者可以利用其中一些漏洞来控制受影响的系统。” 阅读 CISA 的公告。“CISA 鼓励用户和管理员查看瞻博网络 安全公告页面 并应用必要的更新。”
该供应商解决了 Junos Space 中的 31 个严重漏洞,这些问题存在于多个第三方产品中,包括 nginx 解析器、Oracle Java SE、OpenSSH、Samba、RPM 包管理器、Kerberos、OpenSSL、Linux 内核、curl 和 MySQL 服务器。
最严重的漏洞,被跟踪为 CVE-2021-23017(CVSS 评分 9.4)会影响 nginx 解析器,并且可能允许能够从 DNS 服务器伪造 UDP 数据包的攻击者导致 1 字节内存覆盖,从而导致工作进程崩溃或潜在的其他影响。
该供应商还解决了 CentOS 6.8 中的多个已知漏洞,这些漏洞在 22.1R1 版本之前随 Junos Space Policy Enforcer 一起提供。
“Policy Enforcer 是 Junos Space Security Director 用户界面的一个组件,与 Sky ATP 集成,可为软件定义的安全网络提供集中式威胁管理和监控。” 阅读咨询。“这些问题会影响 22.1R1 之前的所有瞻博网络 Junos Space Policy Enforcer 版本。”
Juniper 还修复了 Contrail Networking 21.4 中的多个严重漏洞,其中一些可以追溯到 2013 年。libgfortran 中的多个整数溢出(统称为 CVE-2014-5044)可被远程攻击者利用来执行任意代码或导致拒绝服务 ( Fortran 应用程序崩溃)通过与数组分配相关的向量。
Juniper 还解决了一个远程代码执行问题,该问题被跟踪为 CVE-2021-23017,该问题影响其 NorthStar 控制器产品并获得 9.4 CVSS 分数。
远程攻击者可以触发该问题,导致工作进程崩溃或可能执行任意代码。
好消息是瞻博网络 SIRT 没有发现任何对上述问题的恶意利用。
作者: 皮尔路易吉·帕格尼尼
