Juniper SRX 防火墙和 EX 交换机中发现严重 RCE 漏洞

“瞻博网络 Junos OS SRX 系列和 EX 系列的 J-Web 中存在越界写入漏洞，允许未经身份验证的基于网络的攻击者造成拒绝服务 (DoS) 或远程代码执行 (RCE)，并且获得设备的 root 权限，”该公司在一份公告中表示。

这家网络设备专业公司即将被惠普企业 (HPE)以 140 亿美元收购，该公司表示，该问题是由于使用不安全的功能导致的，该功能允许不良行为者覆盖任意内存。

该缺陷影响以下版本，并已在版本 20.4R3-S9、21.2R3-S7、21.3R3-S5、21.4R3-S5、22.1R3-S4、22.2R3-S3、22.3R3-S2、22.4R2 中修复-S2、22.4R3、23.2R1-S1、23.2R2、23.4R1 及更高版本 -

20.4R3-S9 之前的 Junos OS 版本
早于 21.2R3-S7 的 Junos OS 21.2 版本
早于 21.3R3-S5 的 Junos OS 21.3 版本
早于 21.4R3-S5 的 Junos OS 21.4 版本
早于 22.1R3-S4 的 Junos OS 22.1 版本
早于 22.2R3-S3 的 Junos OS 22.2 版本
Junos OS 22.3 版本早于 22.3R3-S2，以及
早于 22.4R2-S2、22.4R3 的 Junos OS 22.4 版本
作为部署修复程序之前的临时解决方法，该公司建议用户禁用 J-Web 或限制仅访问受信任的主机。
该缺陷影响以下版本，并已在版本 20.4R3-S9、21.2R3-S7、21.3R3-S5、21.4R3-S5、22.1R3-S4、22.2R3-S3、22.3R3-S2、22.4R2 中修复-S2、22.4R3、23.2R1-S1、23.2R2、23.4R1 及更高版本 -

20.4R3-S9 之前的 Junos OS 版本
早于 21.2R3-S7 的 Junos OS 21.2 版本
早于 21.3R3-S5 的 Junos OS 21.3 版本
早于 21.4R3-S5 的 Junos OS 21.4 版本
早于 22.1R3-S4 的 Junos OS 22.1 版本
早于 22.2R3-S3 的 Junos OS 22.2 版本
Junos OS 22.3 版本早于 22.3R3-S2，以及
早于 22.4R2-S2、22.4R3 的 Junos OS 22.4 版本
作为部署修复程序之前的临时解决方法，该公司建议用户禁用 J-Web 或限制仅访问受信任的主机。