Juniper исправила десятки уязвимостей в своих продуктах
В среду, 10 октября, компания Juniper Networks опубликовала около двух десятков уведомлений безопасности, описывающих уязвимости в ОС Junos. Для каждой из них производитель уже выпустил исправления.
Особого внимания заслуживает уязвимость CVE-2018-0049, позволяющая вызвать аварийное завершение работы ядра с помощью сконфигурированных особым образом пакетов MPLS. С помощью одного пакета можно вызвать отказ в обслуживании, однако, по словам производителя, злоумышленник может осуществлять непрерывную DoS-атаку, отправляя все новые и новые пакеты.
Помимо прочего, Juniper исправила несколько критических уязвимостей в демоне NTP. Организация Network Time Foundation недавно исправила несколько уязвимостей, в том числе критических и опасных, и Juniper добавила исправления в обновления для Junos.
Критическая уязвимость также была исправлена в устройствах серии Juniper NFX. С ее помощью удаленный атакующий мог получить доступ к системе через учетную запись с пустым паролем.
Список уязвимостей в Junos, близких к критическим (с оценкой не ниже 8,8 балла по системе CVSS), включает в себя две уязвимости, позволяющие вызвать аварийное завершение работы RPD и потенциально выполнить код. Производитель исправил еще несколько связанных с RPD опасных уязвимостей, позволяющих осуществить DoS-атаку.
Ряд уязвимостей были исправлены в Junos Space Network Management Platform, и некоторые из них обозначены как высокой опасности. Еще одна серьезна уязвимость, позволяющая вызывать отказ в обслуживании, была исправлена в SIP ALG. С ее помощью атакующий мог вызвать завершение различных процессов.
Опасная уязвимость была также исправлена в сервисе RSH. С ее помощью злоумышленник мог удаленно и без авторизации получить права суперпользователя на уязвимом устройстве. Остальные уязвимости, обозначенные как средней опасности, могли эксплуатироваться для осуществления DoS- и XSS-атак.