Juniper Networks, 2023’teki ilk büyük yama sevkiyatının bir parçası olarak, üçüncü taraf yazılımlardan devralınan kritik hatalar için düzeltmeler gönderdi.
Bir danışma belgesinde Juniper, Secure Analytics ürününün bir Apache Commons Metin hatası olan CVE-2022-42889’u devraldığını ortaya koyuyor.
Hata, Apache Commons Text’in savunmasız bir sürümünü kullanan uygulamaların uzaktan kod yürütmeye (RCE) açık olabileceği anlamına gelir.
Juniper’in danışma belgesi, “Bu sorun, JSA Serisinde 7.5.0UP4’ten önceki Juniper Networks Security Threat Response Manager (STRM) sürümlerini etkiliyor” dedi.
STRM 7.5.0UP4 ve sonraki tüm sürümler, Apache Commons Text’in yamalı bir sürümünü kullanır.
Ayrı bir danışma belgesinde Juniper, Junos OS işletim sisteminde kullandığı libexpat kitaplığını, yedisi kritik olarak derecelendirilen (her durumda 9.8 CVSS puanı) 15 hataya karşı güncellediğini söyledi. Danışma belgesi, sorunun “Junos OS’nin tüm sürümlerini” etkilediğini söyledi.
Kritik hatalar, tümü tamsayı taşmaları olan CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-25315 ve CVE-2022-23852’yi içerir.
CVE-2022-25235 bir kodlama doğrulama hatasıdır ve CVE-2022-25236 “saldırganların ad alanı URI’lerine ad alanı ayırıcı karakterler eklemesine izin verir”.
Etkilenen tüm Junos OS derleme serileri için düzeltmeler gönderildi.