Juniper исправила десятки уязвимостей в своих продуктах

В среду, 10 октября, компания Juniper Networks опубликовала около двух десятков уведомлений безопасности, описывающих уязвимости в ОС Junos. Для каждой из них производитель уже выпустил исправления.

Особого внимания заслуживает уязвимость CVE-2018-0049, позволяющая вызвать аварийное завершение работы ядра с помощью особым образом сконфигурированных пакетов MPLS. С помощью одного пакета можно вызвать отказ в обслуживании, однако, по словам производителя, злоумышленник может осуществлять непрерывную DoS-атаку, отправляя все новые и новые пакеты.

Помимо прочего, Juniper исправила несколько критических уязвимостей в демоне NTP. Организация Network Time Foundation недавно исправила несколько уязвимостей, в том числе критических и опасных, и Juniper добавила исправления в обновления для Junos.

Критическая уязвимость также была исправлена в устройствах серии Juniper NFX. С ее помощью удаленный атакующий мог получить доступ к системе через учетную запись с пустым паролем.

Список уязвимостей в Junos, близких к критическим (с оценкой не ниже 8,8 балла по системе CVSS), включает в себя две уязвимости, позволяющие вызвать аварийное завершение работы RPD и потенциально выполнить код. Производитель исправил еще несколько связанных с RPD опасных уязвимостей, позволяющих осуществить DoS-атаку.

Ряд уязвимостей были исправлены в Junos Space Network Management Platform, и некоторые из них обозначены как высокой опасности. Еще одна серьезна уязвимость, позволяющая вызывать отказ в обслуживании, была исправлена в SIP ALG. С ее помощью атакующий мог вызвать завершение различных процессов.

Опасная уязвимость была также исправлена в сервисе RSH. С ее помощью злоумышленник мог удаленно и без авторизации получить права суперпользователя на уязвимом устройстве. Остальные уязвимости, обозначенные как средней опасности, могли эксплуатироваться для осуществления DoS- и XSS-атак.

Источник