Производитель телекоммуникационного оборудования компания Juniper Networks выпустила обновления безопасности, устраняющие ряд уязвимостей в операционной системе Junos OS, а также библиотеке FreeBSD libc. Уязвимость CVE-2016-1277 затрагивает устройства под управлением Junos OS с настроенным туннельным интерфейсом (gr- или ip-интерфейс) – Junos OS 12.1X46-D50, 12.1X47-D40, 12.3X48-D30, 13.3R9, 14.1R8, 14.1X53-D40, 14.2R6, 15.1F6, 15.1R3, 15.1X49-D40.
Атакующий может проэксплуатировать проблему с помощью отправки специально сформированного ICMP-пакета и вызвать отказ в обслуживании целевого устройства. В качестве метода по предотвращению эксплуатации уязвимости специалисты Juniper Networks рекомендуют разрешить доступ к маршрутизатору по протоколу ICMP только доверенным хостам.
Уязвимость CVE-2016-1279 затрагивает устройства на базе Junos OS с настроенным J-Web-интерфейсом. Эксплуатация ошибки может привести к утечке информации и позволить авторизованному пользователю получить доступ к системе с правами администратора. Ошибка затрагивает следующие версии ОС: Junos OS 12.1X46-D45, 12.1X46-D46, 12.1X46-D51, 12.1X47-D35, 12.3R12, 12.3X48-D25, 13.3R10, 13.3R9-S1, 14.1R7, 14.1X53-D35, 14.2R6, 15.1A2, 15.1F4, 15.1X49-D30, 15.1R3.
Следующие две уязвимости содержатся в межсетевых экранах серии Juniper SRX. Первая (CVE-2016-1278) связана с некорректным обновлением ОС до версии Junos OS 12.1X46, в результате которого вход в систему возможен без ввода пароля. Эксплуатация второй уязвимости (CVE-2016-1276) позволяет вызвать отказ в обслуживании устройства. Помимо вышеуказанных, производитель выпустил патч, устраняющий уязвимость в библиотеке FreeBSD libc, поддерживаемой в некоторых версиях Junos OS. эксплуатация данной проблемы может привести к утечке информации. (Juniper/NovostIT)