GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Juniper Networks Junos OS 10月多个安全缝隙

颁布功夫 2022-10-31

0x00 缝隙概述

2022年10月12日，Juniper Networks颁布10月安全布告，建复了Junos OS中的多个安全缝隙，成功利用这些缝隙可能导致信息泄露、文件上传、代码执行或其它恶意操作。

0x01 缝隙详情

Juniper Networks（瞻博网络）是全球当先的网络和安全解决规划提供商，其客户蕴含全球领域内的网络运营商、企业、当局机构以及钻研和教育机构等。

Juniper Networks 10月安全布告中共建复了6个Junos OS的 J-Web 组件中的缝隙，目前这些缝隙的细节已经公开披露。详情如下：

CVE	类型	评分	注明
CVE-2022-22241	反序列化	8.1	Juniper Networks Junos OS 的 J-Web 组件中存在不正确的输入验证缝隙，可能导致Phar 反序列化，成功利用此缝隙能够写入肆意文件，从而远程执行代码。
CVE-2022-22242	XSS	6.1	Juniper Networks Junos OS 的 J-Web 组件中存在跨站剧本 (XSS) 缝隙，可能导致敏感信息泄露或其它恶意操作。
CVE-2022-22243	XPATH 注入	4.3	Juniper Networks Junos OS 的 J-Web 组件中由于输入验证不正确，导致XPath 注入缝隙，允许经过验证的用户将XPath号令增长到XPath流中，或结合其它缝隙执行恶意操作等。
CVE-2022-22244	XPATH 注入	5.3	Juniper Networks Junos OS 的 J-Web 组件中存在 XPath 注入缝隙，可能导致在未经认证的情况下通过发送精心设计的 POST 要求达到 XPath 通路，或结合其它缝隙执行恶意操作等。
CVE-2022-22245	蹊径遍历	4.3	Juniper Networks Junos OS 的 J-Web 组件中存在蹊径遍历缝隙，允许经过身份验证的恶意用户绕过 Junos OS 内置的验证查抄，向设备上传肆意文件（可能无法执行该文件）。
CVE-2022-22246	本地文件蕴含	7.5	Juniper Networks Junos OS 的 J-Web 组件中存在PHP本地文件蕴含 (LFI) 缝隙，可能允许经过身份验证的低权限用户执行不受信赖的PHP 文件，或结合其它缝隙导致远程代码执行。

影响领域

这些缝隙影响了以下Juniper Networks Junos OS版本：

19.1R3-S9 之前的所有版本；

19.2R3-S6 之前的 19.2 版本；

19.3R3-S7 之前的 19.3 版本；

19.4R3-S9 之前的 19.4 版本；

20.1R3-S5 之前的 20.1 版本；

20.2R3-S5 之前的 20.2 版本；

20.3R3-S5 之前的 20.3 版本；

20.4R3-S4 之前的 20.4 版本；

21.1R3-S2 之前的 21.1 版本；

21.2R3-S1 之前的 21.2 版本；

21.3R3 之前的 21.3 版本；

21.4R3 之前的 21.4 版本；

22.1R2 之前的 22.1 版本。

0x02 安全建议

目前这些缝隙已经建复，受影响用户可升级到Junos OS 19.1R3-S9、19.2R3-S6、19.3R3-S7、19.4R3-S9、20.1R3-S5、20.2R3-S5、20.3R3-S5、 20.4R3-S4、21.1R3-S2、21.3R3、21.4R3、22.1R2、22.2R1 或更高版本。

下载链接：

https://support.juniper.net/support/downloads/

0x03 参考链接

https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-OS-Multiple-vulnerabilities-in-J-Web?language=en_US

https://octagon.net/blog/2022/10/28/juniper-sslvpn-junos-rce-and-multiple-vulnerabilities/

0x04 版本信息

版本	日期	批改内容
V1.0	2022-10-31	初次颁布

0x05 附录

GA黄金甲简介

GA黄金甲成立于1996年，是由留美博士严望佳女士创建的、占有齐全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决规划的领航企业之一。

公司总部位于北京市中关村软件园GA黄金甲大厦，公司员工6000余人，研发团队1200余人, 技术服务团队1300余人。在全国各省、视注自治区设立分支机构六十多个，占有覆盖全国的销售系统、渠路系统和技术支持系统。公司于2010年6月23日在深圳中幼板挂牌上市。（股票代码：002439）

多年来，GA黄金甲致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，援手客户全面提升其IT基础设施的安全性和出产效力，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。

关于GA黄金甲

GA黄金甲安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报。

关注以下公家号，获取全球最新安全资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】