Juniper Networks, J-Web ağ yönetimi arayüzündeki kritik bir hata da dahil olmak üzere 2024 için ilk üç güvenlik güncellemesini yayınladı.
Şirket, güvenlik açıklarından herhangi bir şekilde yararlanıldığının farkında olmadığını söyledi.
J-Web sınır dışı yazma hatası, CVE-2024-21591 (CVSS puanı 9,8), Junos OS SRX Serisini ve EX Serisini etkiler.
Yazılımdaki belirtilmemiş bir “güvenli olmayan işlev”, bir saldırganın “rastgele belleğin üzerine yazmasına” olanak tanıyarak, uzaktan saldırgana etkilenen cihazda uzaktan kod yürütme (RCE), hizmet reddi ve kök ayrıcalıkları verir.
Junos OS’nin sekiz sürümünü etkiliyor ve yamalar mevcut.
Şirket ayrıca Junos OS ve Junos OS Evolved yazılımlarında daha düşük puan alan iki BGP hatasını da düzeltti.
CVE-2024-21611 (CVSS puanı 7,5) Junos OS 21.4, 22.1 ve 22.2’yi etkiler; ve Junos OS Evolved 21.4-EVO, 22.1-EVO ve 22.2-EVO.
Danışma belgesi, bunun, Yönlendirme Protokolü Arka Plan Programındaki (rpd) “kimliği doğrulanmamış, ağ tabanlı bir saldırganın hizmet reddine (DoS) neden olmasına izin veren” bir “etkili kullanım süresinden sonra eksik bellek salınımı” güvenlik açığı olduğunu açıkladı.
Juniper’in akış izleme jflow’unda BGP sonraki atlamalarının güncellenmesine neden olan bir rota karışıklığı varsa, “yavaş bellek sızıntısı” sonunda çökecek ve rpd’yi yeniden başlatacaktır.
Ayrıca, rpd’de yığın tabanlı bir arabellek taşması olan Junos OS ve Junos OS Evolved’in tüm sürümlerini etkileyen CVE-2024-21596 (CVSS puanı 5,3) vardır.
Uyarı belgesinde, “Bir saldırgan cihaza belirli bir BGP GÜNCELLEME mesajı gönderirse, bu durum belleğin üzerine yazılmasına ve dolayısıyla RPD’nin çökmesine ve yedek Yönlendirme Motorunda (RE) yeniden başlatılmasına neden olur” ifadesine yer verildi.
Bir saldırgan, sürekli bir DoS sağlamak için saldırı paketleri göndermeye devam edebilir.
Juniper, HPE’den 14 milyar dolarlık bir devralma teklifine tabi.