【漏洞通告】Juniper Networks Junos OS 10月多个安全漏洞
发布时间 2022-10-310x00 漏洞概述
2022年10月12日,Juniper Networks发布10月安全公告,修复了Junos OS中的多个安全漏洞,成功利用这些漏洞可能导致信息泄露、文件上传、代码执行或其它恶意操作。
0x01 漏洞详情
Juniper Networks(瞻博网络)是全球领先的网络和安全解决方案提供商,其客户包括全球范围内的网络运营商、企业、政府机构以及研究和教育机构等。
Juniper Networks 10月安全公告中共修复了6个Junos OS的 J-Web 组件中的漏洞,目前这些漏洞的细节已经公开披露。详情如下:
CVE | 类型 | 评分 | 说明 |
CVE-2022-22241 | 反序列化 | 8.1 | Juniper Networks Junos OS 的 J-Web 组件中存在不正确的输入验证漏洞,可能导致Phar 反序列化,成功利用此漏洞可以写入任意文件,从而远程执行代码。 |
CVE-2022-22242 | XSS | 6.1 | Juniper Networks Junos OS 的 J-Web 组件中存在跨站脚本 (XSS) 漏洞,可能导致敏感信息泄露或其它恶意操作。 |
CVE-2022-22243 | XPATH 注入 | 4.3 | Juniper Networks Junos OS 的 J-Web 组件中由于输入验证不正确,导致XPath 注入漏洞,允许经过验证的用户将XPath命令添加到XPath流中,或结合其它漏洞执行恶意操作等。 |
CVE-2022-22244 | XPATH 注入 | 5.3 | Juniper Networks Junos OS 的 J-Web 组件中存在 XPath 注入漏洞,可能导致在未经认证的情况下通过发送精心设计的 POST 请求到达 XPath 通道,或结合其它漏洞执行恶意操作等。 |
CVE-2022-22245 | 路径遍历 | 4.3 | Juniper Networks Junos OS 的 J-Web 组件中存在路径遍历漏洞,允许经过身份验证的恶意用户绕过 Junos OS 内置的验证检查,向设备上传任意文件(可能无法执行该文件)。 |
CVE-2022-22246 | 本地文件包含 | 7.5 | Juniper Networks Junos OS 的 J-Web 组件中存在PHP本地文件包含 (LFI) 漏洞,可能允许经过身份验证的低权限用户执行不受信任的PHP 文件,或结合其它漏洞导致远程代码执行。 |
影响范围
这些漏洞影响了以下Juniper Networks Junos OS版本:
19.1R3-S9 之前的所有版本;
19.2R3-S6 之前的 19.2 版本;
19.3R3-S7 之前的 19.3 版本;
19.4R3-S9 之前的 19.4 版本;
20.1R3-S5 之前的 20.1 版本;
20.2R3-S5 之前的 20.2 版本;
20.3R3-S5 之前的 20.3 版本;
20.4R3-S4 之前的 20.4 版本;
21.1R3-S2 之前的 21.1 版本;
21.2R3-S1 之前的 21.2 版本;
21.3R3 之前的 21.3 版本;
21.4R3 之前的 21.4 版本;
22.1R2 之前的 22.1 版本。
0x02 安全建议
目前这些漏洞已经修复,受影响用户可升级到Junos OS 19.1R3-S9、19.2R3-S6、19.3R3-S7、19.4R3-S9、20.1R3-S5、20.2R3-S5、20.3R3-S5、 20.4R3-S4、21.1R3-S2、21.3R3、21.4R3、22.1R2、22.2R1 或更高版本。
下载链接:
https://support.juniper.net/support/downloads/
0x03 参考链接
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-OS-Multiple-vulnerabilities-in-J-Web?language=en_US
https://octagon.net/blog/2022/10/28/juniper-sslvpn-junos-rce-and-multiple-vulnerabilities/
0x04 版本信息
版本 | 日期 | 修改内容 |
V1.0 | 2022-10-31 | 首次发布 |
0x05 附录
公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工6000余人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
京公网安备11010802024551号