Juniper Networks 修复交换机、防火墙中的多个漏洞

最新推荐文章于 2024-10-16 08:21:04 发布
最新推荐文章于 2024-10-16 08:21:04 发布
阅读量123 收藏
点赞数
文章标签: 网络 php 安全 服务器 web安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518790&idx=2&sn=8654a2f71be0f352dbd073de6482ef88&chksm=eb6bdc4cbbe9d81ba28b9e4bc8772195955bcf972e27b8d54ac4b4415fb2e7037fff45523c44&scene=126&sessionid=0
版权

82f0cc5cadf6e641bc16bc44d76b3a84.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Juniper Networks 发布多个补丁,修复了SRX系列防火墙和 EX 系列交换机的 J-Web 组件中的多个漏洞,其中包含一个高危漏洞。

J-Web 接口可从浏览器访问,允许管理员监控、配置、调试和管理运行 Junos 操作系统的设备。其中最严重的漏洞是一个XSS漏洞CVE-2024-21620(CVSS评分8.8),可使攻击者构造恶意 URL,当用户访问时可导致通过用户权限(包括管理员权限)执行任意命令。

Juniper Networks 表示该漏洞已在 Junos OS 版本 20.4R3-S10、21.2R3-S8、21.4R3-S6、22.1R3-S5、22.2R3-S3、22.3R3-S2、22.4R3-S1、23.2R2、 23.4R2和后续发布中修复。

另外一个涉及  J-Web 接口的漏洞是CVE-2024-21619,可导致未认证攻击者访问敏感信息。Juniper Networks 发布安全公告指出,“当用户登录时,包含设备配置的临时文件会在 /cache 文件夹中创建。未认证攻击者之后通过向设备发送特定请求猜测文件名称的方式,访问文件。成功利用该漏洞可披露配置信息。”该漏洞已在 Junos OS 版本 20.4R3-S9、21.2R3-S7、21.3R3-S5、21.4R3-S6、22.1R3-S5、22.2R3-S3、22.3R3-S2、22.4R3、23.2R1-S2、23.2R2、23.4R1及后续版本中修复。

Juniper Networks 公司还修复了两个认证缺失漏洞,它们可导致未认证攻击者通过网络发送构造的请求,并通过 J-Web 上传任意文件 (CVE-2023-36846) 或下载和上传任意文件 (CVE-2023-36851)。

成功利用这些漏洞可影响文件系统的完整性。CVE-2023-36851也可与其它漏洞组合利用。

Juniper Networks 公司并未提及这些漏洞是否遭利用。

美国网络安全机构 CISA 建议组织机构查看 Juniper 公司的安全公告并尽快应用可用补丁,提醒称攻击者可利用这些漏洞控制受影响系统。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Juniper 提醒注意防火墙和交换机中的严重RCE漏洞

CISA 提醒注意已遭活跃利用的 Juniper 预认证 RCE 利用链

Juniper Networks 修复Junos OS中的30多个漏洞

速修复!Juniper Junos OS 漏洞使设备易受攻击

原文链接

https://www.securityweek.com/juniper-networks-patches-vulnerabilities-in-switches-firewalls/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

0988c1a86ca5d091726d374edd43a60f.jpeg

d589882a8db58aec980fc5c348e55ab4.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   69c750158c42a5de53c0fb6410b2f07b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
Juniper防火墙交换机trunk配置
Jian Sun_的博客
08-30 269
拓扑图防火墙配置交换机配置【完】
Juniper-EX交换机配置手册v1.1.pdf
07-30
交换机是计算机网络的一个重要组件,负责连接和转发数据包。Juniper EX交换机是一种高性能的以太网交换机,支持多种配置方式,包括命令行界面(CLI)和Web浏览器界面(JWeb)。 1.1 认识 JUNIPER 交换机 Juniper...
【复现】Juniper Networks Junos OS EX-RCE漏洞_07
fushuang333的博客
01-03 686
Junos OS 是支持瞻博网络广泛的物理和虚拟网络安全产品组合的单一操作系统。具体看官网。通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意代码的目的。
Juniper Junos OS 高危漏洞影响企业网络设备
smellycat000的专栏
10-31 704
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Juniper Networks设备存在多个高危漏洞,其一些可用于实现代码执行。Octagon Networks公司的研究员 Paulos Yibelo指出,其最主要的漏洞是位于 Junos OS J-Web 组件的远程预认证PHP文档文件反序列化漏洞(CVE-2022-22241,CVSS评分8.1)。Yibelo 在报告提到,“未认...
网络靶场实战-Juniper SRX远程代码执行漏洞复现分析
蛇矛实验室
04-16 1165
首先是未授权文件上传漏洞,我们可以通过poc快速定位到webauth_operation.php文件php使用了includes/sajax.php文件,并调用了sajax_init()和sajax_handle_client_request()函数。在sajax_handle_client_request函数的末尾,我们可以看到"$internal_functions"变量,通过打印变量user的值,我们可以获取150个单独的功能,其对于我们比较重要的就是文件上传和写入的功能了。
VulnRecap 2/5/24 – Azure、Apple、Ivanti 和 Mastodon 面临风险
weixin_56154577的博客
03-20 72
影响不同系统的关键多平台漏洞占据了过去一周的网络安全头条新闻。 瞻博网络针对 SRX 和 EX 系列的高严重性缺陷发布了更新。 Microsoft Azure Pipelines 的编码漏洞影响了 70,000 个开源项目。 Linux 发行版面临基于堆的缓冲区溢出问题。 Jenkins CLI 暴露了构建系统的缺陷,Mastodon 遇到了严重的源验证错误.
Juniper 紧急修复严重的认证绕过漏洞
smellycat000的专栏
07-01 143
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Juniper Networks 公司发布紧急更新,修复了Session Smart Router (SSR)、Session Smart Conductor 和 WAN Assurance Router 产品的一个严重漏洞 (CVE-2024-2973),可导致认证绕过后果。攻击者可利用该漏洞完全控制设备。漏洞描述提到,“Juniper Ne...
juniper产品介绍-juniper ex3300交换机快速入门.pdf
07-11
在安装 Juniper Networks EX3300 交换机之前,你需要准备以下配件: 1. 2 个安装托架和 8 个装配螺丝。 2. 用于固定机箱的螺丝(未提供,需自备)。 3. 十字 (+) 螺丝刀,2 号。 4. AC 系统:AC 电源线和电源线接线...
Juniper-EX2200交换机配置.docx
02-22
Juniper EX2200 是一款功能丰富的二层和三层交换机,特别适用于小型企业或数据心环境。它支持静态路由和RIP(Routing Information Protocol)作为其三层路由协议。本文将详细介绍如何通过CLI(命令行接口)对...
电子测量Juniper Networks选择Agilent N2X多业务测试解决方案验证其IPTV等解决方案
11-25
Agilent N2X多业务测试解决方案――业界第一个能够在真实的三重播放网络环境,验证成千上万的个人用户IPTV服务质量的解决方案――使Juniper能够在高度可扩展和不断变化的网络环境验证其IPTV和多重播放解决方案的...
Juniper_SRX_Branch系列防火墙J-WEB配置手册.pdf
08-29
Juniper网络公司(文名:瞻博网络)致力于实现网络商务模式的转型。作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络
Juniper 提醒注意防火墙交换机的严重RCE漏洞
smellycat000的专栏
01-15 238
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Juniper Networks 公司发布安全更新,修复了位于 SRX 系列防火墙和EX系列交换机的一个严重的预认证RCE漏洞 CVE-2024-21591。该漏洞位于设备的 J-Web 配置接口,可被未认证攻击者获得根权限或针对未修复设备发动拒绝服务攻击。在上周三的安全公告Juniper 公司提到,“该漏洞是因为使用一个不安全的函数造成...
Juniper Networks 修复多个严重的第三方组件漏洞
smellycat000的专栏
04-17 821
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络、云和网络安全解决方案提供商 Juniper Networks 上周发布安全公告,详述了产品出现的数十个漏洞,其包括 Junos OS 和 STRM 第三方组件多个严重漏洞。其一份安全公告是和 stream 相关的第三方 XML 解析器库 Expat 多个严重漏洞。该安全公告详述了最新 Junos OS 版本存在的15个 Ex...
防火墙篇】03. Web 登录 ❀ Juniper 防火墙
防火墙技术专栏
08-08 5450
用向导配置完防火墙后,就可以用浏览器登录查看及管理防火墙了。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-15 1179
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
S7-200 SMART 与 S7-1200 之间 TCP 通信— S7-200 SMART 作为服务器
最新发布
gsjkwg的博客
10-16 879
在 “项目树” > “PLC_1” > “设备组态” ,选 CPU ,然后在下面的属性窗口,“属性” > “系统和时钟存储器” 下,将时钟位定义在 MB0,如图2所示。通过“项目树”>“PLC_1”>“程序块”>点击生成的 “数据块_1” ( DB4 ) ,右键属性,取消勾选“优化的块访问”。通过“项目树”>“PLC_1”>“程序块”>“添加新块”,选择“数据块” 创建全局 DB 块,点击“确定” 生成数据块。指令块位置及调用方法参考 TCON 指令的调用,调用结果如图8所示。
前端开发攻略---8种方法实现在浏览器跨页面通信
nibabaoo的博客
10-15 1259
浏览器实现跨标签页通信的多种方式
Linux系统性能调优技巧详解
运维人生
10-13 615
Linux系统性能调优是一个复杂而持续的过程,需要综合考虑硬件、软件、内核参数、进程管理等多个方面。通过合理的调优措施和持续的监控调整,可以显著提升Linux系统的运行效率和稳定性,为业务提供强有力的支持。性能调优是一个持续的过程,需要不断地监控、分析和调整,以适应不断变化的工作负载和系统环境。希望本文的介绍和代码示例能够帮助您在Linux系统性能调优方面取得更好的效果。
找到占用5601端口的进程ID
m0_46695127的博客
10-13 288
找到占用5601端口的进程ID
Juniper EX系列交换机文操作指南
"这是一本针对Juniper EX系列以太网交换机文操作手册,主要涵盖产品介绍、CLI命令行界面的使用、接口配置、VLAN管理、STP/RSTP/MSTP桥接协议、链路聚合、三层协议配置、虚拟机箱操作以及802.1X认证配置等内容,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值