網路設備業者Juniper 7月初發布安全公告,修補作業系統軟體Junos OS的安全漏洞,包括兩個出現在防火牆產品,一個出現在路由器產品中,可能導致阻斷服務(Denial of Service)攻擊的重大風險漏洞。

防火牆中的兩項漏洞為CVE-2020-1647和CVE-2020-1654,兩者都是影響啟用ICAP(Internet Content Adaptation Protocol)再導引服務的SRX系列的Junos OS。CVE-2020-1647為一項double free漏洞,可能為駭客從HTTP伺服器或用戶端軟體傳送惡意HTTP訊息觸發,導致阻斷服務(DoS)或遠端程式碼執行(Remote code execution,RCE)。CVE-2020-1654情況類似,也可能在攻擊者傳送惡意HTTP指令下發生DoS及RCE。在有兩種漏洞的SRX防火牆下,若駭客不間斷傳送HTTP訊息,將可能引發大規模的DoS攻擊。

受影響的作業系統版本為Junos OS 18.1到18.4以及19.1到19.3。但18.1R1以前的Junos OS及未啟用ICAP重導引服務的產品,皆不受影響。

另一個DoS漏洞CVE-2020-1650出現在Juniper Junos中,影響路由器MX Series系列包括MS-MIC(Multiservices Modular Interfaces Card)及MS-MPC(Multiservices Modular PIC Concentrator)兩種網卡的產品。當這兩種MX Series產品啟用MS-PIC元件時,攻擊者可能藉由重覆傳送惡意封包導致MS-PIC反覆失靈,引發長時間的DoS攻擊。

有漏洞的Junos作業系統包括17.2到17.4、18.1到18.4,以及19.1到19.3版本。

Juniper已經釋出修補漏洞的更新版軟體,呼籲用戶儘速更新到最新版本。


Advertisement

更多 iThome相關內容