Juniper Networks выпустила внеплановое обновление для Junos OS

Juniper Networks выпустила внеплановое обновление для Junos OS

Эксплуатация проблем позволяет вводить команды в httpd.log, получать права доступа или токены сеансов J-Web.

Производитель телекоммуникационного оборудования для интернет-провайдеров, корпораций и государственного сектора Juniper Networks выпустил внеплановое обновление безопасности для операционной системы Junos OS, исправляющее несколько проблем в web-сервисах и интерфейсе J-Web, объединенных под одним идентификатором CVE (CVE-2020-1631). Эксплуатация проблем позволяет злоумышленнику вводить команды в httpd.log, читать файлы с разрешением на чтение «world» или получать токены сеансов J-Web.

Как сообщила компания, наиболее опасной является проблема, связаннная с токеном сеанса J-Web, получившая оценку в 8,8 балла по шкале CVSS. Если J-Web включен на устройстве, злоумышленник может получить тот же уровень доступа, что и любой авторизованный пользователь (например, права администратора).

Другая проблема затрагивает версии Junos OS 19.3R1 и старше, ее эксплуатация позволяет неавторизованному злоумышленнику прочитать файл конфигурации.

Эксплуатация третьей проблемы позволяет злоумышленнику вводить команды в httpd.log. Однако влияние данной проблемы более ограничено, поскольку служба HTTP имеет права как у пользователя «nobody».

Уязвимость не затрагивает устройства под управлением Junos OS с отключенными сервисами HTTP/HTTPS, но содержится в следующих версиях ОС: 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 17.2, 17.3, 17.4, 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4, и 20.1. Сетевым администраторам рекомендуется обновить уязвимые устройства до последних версий программного обеспечения.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!