Juniper Networks tung bản cập nhật cho các lỗ hổng nghiêm trọng

[Sugi_b3o]

Juniper Networks đã phát hành bản cập nhật để khắc phục các lỗ hổng nghiêm trọng trong dòng sản phẩm SRX Series và EX Series có thể bị khai thác để kiểm soát các hệ thống bị tấn công.

​

Các lỗ hổng lần lượt có mã định danh CVE-2024-21619 và CVE-2024-21620, ảnh hưởng đến tất cả các phiên bản của Junos OS.

• CVE-2024-21619 (điểm CVSS: 5,3): lỗ hổng thiếu xác thực có thể tiết lộ thông tin cấu hình nhạy cảm.
• CVE-2024-21620 (điểm CVSS: 8,8): lỗ hổng cross-site scripting (XSS) có thể dẫn đến thực thi mã từ xa với quyền của mục tiêu thông qua một yêu cầu được tạo ra đặc biệt.

Hai lỗ hổng trên đã được giải quyết trong các phiên bản sau đây:

CVE-2024-21619 - 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3, 23.2R1-S2, 23.2R2, 23.4R1 và tất cả các bản phát hành sau này. CVE-2024-21620 - 20.4R3-S10, 21.2R3-S8, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3-S1, 23.2R2, 23.4R2 và tất cả các bản phát hành sau này.

Giải pháp giảm thiếu tạm thời tắt J-Web hoặc hạn chế quyền truy cập chỉ đến các máy chủ đáng tin cậy.

Trong tháng này, Juniper Networks cũng đã phát hành các bản vá cho lỗ hổng quan trọng trong các sản phẩm tương tự là CVE-2024-21591, điểm CVSS: 9,8 có thể cho phép kẻ tấn công gây ra tình trạng từ chối dịch vụ (DoS) hoặc thực hiện mã từ xa, từ đó chiếm được quyền root trên các thiết bị.

Theo TheHackerNews​