forum.opennet.ru

Составление сообщения

Исходное сообщение

"В продуктах Juniper исправлены 22 уязвимости"
Отправлено opennews, 11-Окт-18 11:48

В операционной системе  Junos, основанной на FreeBSD и используемой в различных сетевых устройствах компании Juniper, устранено 22 уязвимости (https://kb.juniper.net/InfoCenter/index?page=content&channel...). Большинство проблем позволяют удалённо инициировать отказ в обслуживании, вызвав крах  как отдельных сервисов (RPD - Routing Protocols Daemon, flowd, jdhcpd,  L2ALD, dcd, J-Web, telnetd ), так и ядра системы (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...).

Кроме DoS-уязвимостей можно выделить следующие проблемы:

-  Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) удалённого получения root-доступа на устройство без прохождения аутентификации. Проблема проявляется только при активном сервисе RSH и при отключенном PAM;
-  Некорректная конфигурация SSHD в Juniper Device Manager (JDM) и устройствах Juniper NFX позволяет (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) получить удалённый доступ к системе без аутентификации, в случае если в системе задан хотя бы один пустой пароль (в настройках sshd разрешён вход с пустым паролем "PermitEmptyPasswords = yes");
-  Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) запросить по DHCP присвоение клиенту определённого IP, несмотря на действующую привязку к MAC-адресу.
-  6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) в Junos Space Network Management Platform, среди которых локальные уязвимости, позволяющие поднять свои привилегии и возможность выполнения произвольных локальных модулей PKCS#11 удалённым атакующим, получившим доступ к перенаправленному сокету ssh-агента;
-  6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) в демоне синхронизации точного времени (ntpd), среди которых проблема CVE-2018-7183 (https://security-tracker.debian.org/tracker/CVE-2018-7183), позволяющая удалённо выполнить код в системе через отправку специально оформленного ответа;
-  Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) получения полного контроля за шлюзами vSRX во время их загрузки.
URL: https://kb.juniper.net/InfoCenter/index?page=content&channel...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49426

Исходное сообщение
"В продуктах Juniper исправлены 22 уязвимости" Отправлено opennews, 11-Окт-18 11:48
В операционной системе Junos, основанной на FreeBSD и используемой в различных сетевых устройствах компании Juniper, устранено 22 уязвимости (https://kb.juniper.net/InfoCenter/index?page=content&channel...). Большинство проблем позволяют удалённо инициировать отказ в обслуживании, вызвав крах как отдельных сервисов (RPD - Routing Protocols Daemon, flowd, jdhcpd, L2ALD, dcd, J-Web, telnetd ), так и ядра системы (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...). Кроме DoS-уязвимостей можно выделить следующие проблемы: - Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) удалённого получения root-доступа на устройство без прохождения аутентификации. Проблема проявляется только при активном сервисе RSH и при отключенном PAM; - Некорректная конфигурация SSHD в Juniper Device Manager (JDM) и устройствах Juniper NFX позволяет (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) получить удалённый доступ к системе без аутентификации, в случае если в системе задан хотя бы один пустой пароль (в настройках sshd разрешён вход с пустым паролем "PermitEmptyPasswords = yes"); - Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) запросить по DHCP присвоение клиенту определённого IP, несмотря на действующую привязку к MAC-адресу. - 6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) в Junos Space Network Management Platform, среди которых локальные уязвимости, позволяющие поднять свои привилегии и возможность выполнения произвольных локальных модулей PKCS#11 удалённым атакующим, получившим доступ к перенаправленному сокету ssh-агента; - 6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) в демоне синхронизации точного времени (ntpd), среди которых проблема CVE-2018-7183 (https://security-tracker.debian.org/tracker/CVE-2018-7183), позволяющая удалённо выполнить код в системе через отправку специально оформленного ответа; - Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA1...) получения полного контроля за шлюзами vSRX во время их загрузки. URL: https://kb.juniper.net/InfoCenter/index?page=content&channel... Новость: https://www.opennet.ru/opennews/art.shtml?num=49426

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В операционной системе  Junos, основанной на FreeBSD и используемой в различных 
> сетевых устройствах компании Juniper, устранено 22 уязвимости (https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES). 
> Большинство проблем позволяют удалённо инициировать отказ в обслуживании, вызвав крах 
>  как отдельных сервисов (RPD - Routing Protocols Daemon, flowd, jdhcpd, 
>  L2ALD, dcd, J-Web, telnetd ), так и ядра системы (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10883&cat=SIRT_1&actp=LIST).

> Кроме DoS-уязвимостей можно выделить следующие проблемы:

> -  Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10886&cat=SIRT_1&actp=LIST) 
> удалённого получения root-доступа на устройство без прохождения аутентификации. Проблема 
> проявляется только при активном сервисе RSH и при отключенном PAM;

> -  Некорректная конфигурация SSHD в Juniper Device Manager (JDM) и устройствах 
> Juniper NFX позволяет (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10878&cat=SIRT_1&actp=LIST) 
> получить удалённый доступ к системе без аутентификации, в случае если в 
> системе задан хотя бы один пустой пароль (в настройках sshd разрешён 
> вход с пустым паролем "PermitEmptyPasswords = yes");

> -  Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10892&cat=SIRT_1&actp=LIST) 
> запросить по DHCP присвоение клиенту определённого IP, несмотря на действующую привязку 
> к MAC-адресу.
> -  6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10880&cat=SIRT_1&actp=LIST) 
> в Junos Space Network Management Platform, среди которых локальные уязвимости, позволяющие 
> поднять свои привилегии и возможность выполнения произвольных локальных модулей PKCS#11 
> удалённым атакующим, получившим доступ к перенаправленному сокету ssh-агента; 
> -  6 уязвимостей (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10898&cat=SIRT_1&actp=LIST) 
> в демоне синхронизации точного времени (ntpd), среди которых проблема CVE-2018-7183 (https://security-tracker.debian.org/tracker/CVE-2018-7183), 
> позволяющая удалённо выполнить код в системе через отправку специально оформленного ответа; 
 
> -  Возможность (https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10887&cat=SIRT_1&actp=LIST) 
> получения полного контроля за шлюзами vSRX во время их загрузки.

> URL: https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49426

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру