网络设备企业Juniper 7月初发布安全公告,修补操作系统软件Junos OS的安全漏洞,包括两个出现在防火墙产品,一个出现在路由器产品中,可能导致拒绝服务(Denial of Service)攻击的重大风险漏洞。
防火墙中的两项漏洞为CVE-2020-1647和CVE-2020-1654,两者都是影响激活ICAP(Internet Content Adaptation Protocol)再引导服务的SRX系列的Junos OS。CVE-2020-1647为一项double free漏洞,可能为黑客从HTTP服务器或用户端软件发送恶意HTTP消息触发,导致拒绝服务(DoS)或远程程序代码执行(Remote code execution,RCE)。CVE-2020-1654情况类似,也可能在攻击者发送恶意HTTP指令下发生DoS及RCE。在有两种漏洞的SRX防火墙下,若黑客不间断发送HTTP消息,将可能引发大规模的DoS攻击。
受影响的操作系统版本为Junos OS 18.1到18.4以及19.1到19.3。但18.1R1以前的Junos OS及未激活ICAP重引导服务的产品,皆不受影响。
另一个DoS漏洞CVE-2020-1650出现在Juniper Junos中,影响路由器MX Series系列包括MS-MIC(Multiservices Modular Interfaces Card)及MS-MPC(Multiservices Modular PIC Concentrator)两种网卡的产品。当这两种MX Series产品激活MS-PIC组件时,攻击者可能借由重复发送恶意封包导致MS-PIC反复故障,引发长时间的DoS攻击。
有漏洞的Junos操作系统包括17.2到17.4、18.1到18.4,以及19.1到19.3版本。
Juniper已经发布修补漏洞的更新版软件,呼吁用户尽快更新到最新版本。
代理产品:华为代理商 思科代理商 Juniper代理商 Aruba代理商 浪潮思科代理商 视频会议