Компания Juniper Networks предупредила своих клиентов о серьезной уязвимости в графической библиотеке GD
Компания Juniper Networks предупредила своих клиентов о серьезной уязвимости в графической библиотеке GD, которая может позволить злоумышленнику удаленно взять под контроль систему, работающую под управлением некоторых версий Junos OS.
Оповещение Juniper было разослано одновременно с предупреждением «Компьютерной команды экстренной готовности США» (US-CERT). В нем говорится, что уязвимы версии ОС Junos 12.1X46, 12.3X48, 15.1X49, 14.2, 15.1, 15.1X53, 16.1 и 16.2. Среди устройств, работающих под этим ПО, роутеры серий T и MX, а также четыре сетевых коммутатора Juniper.
Проблема () связана с использованием графической библиотеки GD (), включенной в пакет PHP версий 4.3 и выше.
«В libgd 2.1.1 существует уязвимость, связанная со знаком у целочисленных переменных. Потенциально она может привести к переполнению динамической области памяти при обработке сжатых данных gd2», — говорится в рекомендации . Атакующие могут использовать эту проблему для исполнения произвольных команд или организации отказа в обслуживании.
Обнаружение библиотеки libgd задело широкий круг компаний, в том числе , , и , каждая из которых выпустила собственное предупреждение.
Клиентам предлагается обновить программное обеспечение до последних версий. Кроме того, есть и временное решение, подразумевающее отключенные некоторых служб (например J-Web или XNM-SSL), которые могут использовать встроенный PHP-скриптинг. Пользователи, которых касается эта уязвимость, также могут отказаться от использования Netconf и PyEZ с PHP.
«В дополнение к вышеупомянутым рекомендациям, также хорошо бы ограничить поверхность атаки сетевого оборудования, работающего в критической инфраструктуре. Используйте списки или фильтры фаервола для ограничения доступа к устройству только с надежных хостов», — советует Juniper.
По шкале CVSS, уязвимость libgd в коммутаторах и маршрутизаторах Juniper имеет показатель 8.1, что означает высокую степень риска.