Juniper Networks закрывает уязвимости в Junos OS и FreeBSD libc


Juniper NetworksКомпания Juniper Networks выпустила обновления безопасности, призванные устранить ряд уязвимостей в операционной системе Junos OS и библиотеке FreeBSD libc.

CVE-2016-1277 - уязвимость, затрагивающая устройства под управлением Junos OS с настроенным туннельным интерфейсом (gr- или ip-интерфейс) - Junos OS:

  • 12.1X46-D50;
  • 12.1X47-D40;
  • 12.3X48-D30;
  • 13.3R9, 14.1R8;
  • 14.1X53-D40;
  • 14.2R6, 15.1F6;
  • 15.1R3;
  • 15.1X49-D40.


Для успешной эксплуатации проблемы злоумышленнику достаточно отправить специально сформированный ICMP-пакет и вызвать отказ в обслуживании целевого устройства. Чтобы предотвратить эксплуатацию уязвимости, специалисты Juniper Networks рекомендуют разрешить доступ к маршрутизатору по протоколу ICMP только доверенным хостам.

CVE-2016-1279 - уязвимость, которая затрагивает устройства на базе Junos OS с настроенным J-Web-интерфейсом. Эксплуатация ошибки приводит к утечке информации, а также позволяет авторизованному пользователю получить доступ к системе с правами администратора. Ошибка затрагивает следующие версии ОС Junos OS:

  • 12.1X46-D45;
  • 12.1X46-D46;
  • 12.1X46-D51;
  • 12.1X47-D35;
  • 12.3R12;
  • 12.3X48-D25;
  • 13.3R10;
  • 13.3R9-S1;
  • 14.1R7;
  • 14.1X53-D35;
  • 14.2R6;
  • 15.1A2;
  • 15.1F4;
  • 15.1X49-D30;
  • 15.1R3.


CVE-2016-1278, CVE-2016-1276 - уязвимости в межсетевых экранах серии Juniper SRX. Первая связана с некорректным обновлением ОС до версии Junos OS 12.1X46. В результате ошибки вход в систему возможен без ввода пароля. Эксплуатация второй уязвимости позволяет вызвать отказ в обслуживании устройства.

Также производитель выпустил патч, который устраняет уязвимость в библиотеке FreeBSD libc, поддерживаемой в некоторых версиях Junos OS. Эксплуатация данной бреши приводит к утечке информации.


Обновлено (14.07.2016 23:10)