Juniper Networks Phát Hành Bản Vá Để Khắc Phục Hàng Loạt Lỗ Hổng Bảo Mật

Juniper Networks đã phát hành các bản vá cho hàng chục lỗ hổng bảo mật trong hệ điều hành mạng Junos OS và Junos OS Evolved của họ, bao gồm nhiều lỗi trong một số thành phần phần mềm của bên thứ ba.

Thông tin chi tiết

Các bản sửa lỗi đã được công bố cho khoảng 12 lỗ bảo mật mức độ nghiêm trọng cao ảnh hưởng đến các thành phần như động cơ chuyển tiếp gói tin (PFE), daemon giao thức định tuyến (RPD), động cơ định tuyến (RE), kernel và daemon HTTP.

Theo Juniper, những kẻ tấn công qua mạng mà không cần xác thực có thể gửi các gói tin BGP hoặc các bản cập nhật được tạo ra đặc biệt, các yêu cầu kết nối HTTPS cụ thể, lưu lượng TCP được tạo ra và các gói MPLS để kích hoạt những lỗi này và gây ra các tình trạng từ chối dịch vụ (DoS).

Các bản vá cũng được công bố cho nhiều vấn đề mức độ nghiêm trọng trung bình ảnh hưởng đến các thành phần như PFE, RPD, daemon quản lý PFE (evo-pfemand), giao diện dòng lệnh (CLI), quy trình AgentD, xử lý gói tin, daemon xử lý luồng (flowd) và API xác minh địa chỉ cục bộ.

Việc khai thác thành công những lỗ hổng này có thể cho phép kẻ tấn công gây ra tình trạng DoS, truy cập thông tin nhạy cảm, kiểm soát hoàn toàn thiết bị, gây ra vấn đề cho các đối tác BGP hạ nguồn, hoặc vượt qua các bộ lọc tường lửa.

Juniper cũng công bố các bản vá cho những lỗ hổng ảnh hưởng đến các thành phần của bên thứ ba như C-ares, Nginx, PHP và OpenSSL.

Các bản sửa lỗi Nginx giải quyết 14 lỗi, bao gồm hai lỗ hổng mức độ nghiêm trọng cao đã được biết đến trong hơn bảy năm (CVE-2016-0746 và CVE-2017-20005).

Các phiên bản đã được vá các lỗ hổng nguy hiểm trên:

Junos OS Evolved: 21.2R3-S8-EVO, 21.4R3-S9-EVO, 22.2R3-S4-EVO, 22.3R3-S3-EVO, 22.4R3-S3-EVO, 23.2R2-S2-EVO, 23.4R1-S2-EVO, 23.4R2-EVO, 24.2R1-EVO, 24.2R2-EVO, tất cả các phiên bản tiếp theo sau các phiên bản trên.

Junos OS: 21.2R3-S8, 21.4R3-S8, 22.1R3-S6, 22.2R3-S4, 22.3R3-S3, 22.4R3-S4, 23.2R2-S2, 23.4R1-S2, 23.4R2-S1, 24.2R1, tất cả các phiên bản tiếp theo sau các phiên bản trên.

Lưu ý quan trọng:

1. Các phiên bản cũ hơn so với những phiên bản được liệt kê ở trên có khả năng vẫn còn bị ảnh hưởng bởi các lỗ hổng bảo mật.

2. Juniper Networks khuyến nghị người dùng nên cập nhật lên các phiên bản đã được vá lỗi này hoặc các phiên bản mới hơn để đảm bảo an toàn.

Tham khảo

1. Juniper Support Portal Search Results <https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=relevancy\>

2. Juniper Networks Patches Dozens of Vulnerabilities <https://www.securityweek.com/juniper-networks-patches-dozens-of-vulnerabilities/\>