H Juniper Networks ανακοίνωσε αυτή την εβδομάδα την κυκλοφορία ενημερώσεων κώδικα για περισσότερες από 30 ευπάθειες σε όλο το χαρτοφυλάκιό της, συμπεριλαμβανομένων σοβαρών ελαττωμάτων στο Contrail Networking και στο Junos OS.
Δύο συμβουλές που περιγράφουν συνολικά 13 κενά ασφαλείας στη λύση δικτύωσης που ορίζεται από λογισμικό Contrail Networking (SDN) δημοσιεύθηκαν αυτήν την εβδομάδα, με επτά από τα σφάλματα να έχουν βαθμολογία CVSS πάνω από 9,0.
Η πρώτη από τις συμβουλές καλύπτει δέκα ζητήματα που επηρεάζουν τις εκδόσεις Contrail Networking πριν από το 2011.L4. Πέντε από αυτά τα ελαττώματα ασφαλείας αξιολογούνται ως κρίσιμα και όλα εντοπίστηκαν πέρυσι.
Οι πιο σοβαρές από αυτές είναι δύο ευπάθειες υπερχείλισης buffer στο Pillow (CVE-2021-25289 και CVE-2021-34552) και μια υπερχείλιση σωρού στον διακομιστή HTTP Apache (CVE-2021-26691). Και οι τρεις έχουν βαθμολογία CVSS 9,8.
Με βαθμολογία CVSS 9,4, τα άλλα δύο επηρεάζουν τον αναλυτή nginx (CVE-2021-23017) και το πακέτο xmlhttprequest-ssl (CVE-2021-31597).
Η δεύτερη συμβουλευτική περιγράφει δύο κρίσιμα ζητήματα στο Contrail Networking πριν από την έκδοση 21.3. Αυτά περιλαμβάνουν ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα στο Git for Visual Studio (CVE-2019-1349) και μια άρνηση υπηρεσίας (DoS) στη συνάρτηση pcre_compile στο pcre_compile.c στο PCRE (CVE-2015-8391).
Αυτή την εβδομάδα, η Juniper Networks ανακοίνωσε επίσης ενημερώσεις κώδικα για 14 ευπάθειες στο Junos OS και το Junos OS Evolved, συμπεριλαμβανομένων 10 ζητημάτων που χαρακτηρίζονται ως «υψηλής σοβαρότητας», τα οποία θα μπορούσαν να οδηγήσουν σε εκτέλεση κώδικα ή DoS, υπό ορισμένες συνθήκες.
Η Juniper Networks λέει ότι δεν γνωρίζει ότι κάποια από αυτά τα τρωτά σημεία του Junos OS γίνεται αντικείμενο εκμετάλλευσης σε επιθέσεις, αλλά ενθαρρύνει τους πελάτες να ενημερώσουν σε μια ενημερωμένη έκδοση το συντομότερο δυνατό.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) επίσης ενθαρρύνει τους χρήστες και τους διαχειριστές να επανεξετάσουν τις συμβουλές και να εφαρμόσουν αμέσως τις απαραίτητες διορθώσεις.
“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί ορισμένα από αυτά τα τρωτά σημεία για να πάρει τον έλεγχο ενός επηρεασμένου συστήματος”, προειδοποιεί η CISA.
