Juniper Networks Junos OS远程代码执行漏洞

CVE编号

CVE-2020-1609

利用情况

暂无

补丁情况

N/A

披露时间

2020-01-15

漏洞描述

Juniper Networks Junos OS是一套专用于该公司的硬件设备的网络操作系统。
Juniper Networks Junos OS Dynamic Host Configuration Protocol Daemon (JDHCPD)存在安全漏洞，远程攻击者可以利用该漏洞提交特殊的IPv6请求，可以ROOT权限执行任意命令。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10981

参考链接
https://kb.juniper.net/JSA10981
https://prsearch.juniper.net/InfoCenter/index?page=prcontent&id=PR1449353

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	qemu	*		Up to (excluding) 1.5.3-175.1.al7.3
	运行在以下环境
	系统	alpine_3.12	qemu	*		Up to (excluding) 3.17.7-r0
	运行在以下环境
	系统	alpine_3.13	qemu	*		Up to (excluding) 3.17.7-r0
	运行在以下环境
	系统	alpine_edge	qemu	*		Up to (excluding) 3.17.7-r0
	运行在以下环境
	系统	amazon linux_2	qemu	*		Up to (excluding) 3.1.0-8.amzn2.0.7
	运行在以下环境
	系统	amazon linux_AMI	qemu	*		Up to (excluding) 1.5.3-156.26.amzn1
	运行在以下环境
	系统	amazon_2	qemu	*		Up to (excluding) 3.1.0-8.amzn2.0.7
	运行在以下环境
	系统	amazon_AMI	qemu	*		Up to (excluding) 1.5.3-156.26.amzn1
	运行在以下环境
	系统	centos_7	qemu	*		Up to (excluding) 1.5.3-175.el7_9.3
	运行在以下环境
	系统	centos_8	qemu	*		Up to (excluding) 1.40.2-27.module+el8.4.0+9282+0bdec052
	运行在以下环境
	系统	debian_10	qemu	*		Up to (excluding) 2.0.2+ds-7+deb10u6
	运行在以下环境
	系统	debian_11	qemu	*		Up to (excluding) 3.17.6-1
	运行在以下环境
	系统	debian_9	qemu	*		Up to (excluding) 1.9.7-3+deb9u2
	运行在以下环境
	系统	debian_sid	qemu	*		Up to (excluding) 3.17.6-1
	运行在以下环境
	系统	fedora_31	qemu	*		Up to (excluding) 3.17.7-1.fc31
	运行在以下环境
	系统	fedora_32	qemu	*		Up to (excluding) 3.17.7-1.fc32
	运行在以下环境
	系统	fedora_33	qemu	*		Up to (excluding) 3.17.7-1.fc33
	运行在以下环境
	系统	juniper	junos	15.1	-
	运行在以下环境
	系统	juniper	junos	15.1x49	-
	运行在以下环境
	系统	juniper	junos	15.1x53	-
	运行在以下环境
	系统	juniper	junos	16.1	-
	运行在以下环境
	系统	juniper	junos	16.2	-
	运行在以下环境
	系统	juniper	junos	17.1	-
	运行在以下环境
	系统	juniper	junos	17.2	-
	运行在以下环境
	系统	juniper	junos	17.3	-
	运行在以下环境
	系统	juniper	junos	17.4	-
	运行在以下环境
	系统	juniper	junos	18.1	-
	运行在以下环境
	系统	juniper	junos	18.2	-
	运行在以下环境
	系统	juniper	junos	18.2x75	-
	运行在以下环境
	系统	juniper	junos	18.3	-
	运行在以下环境
	系统	juniper	junos	18.4	-
	运行在以下环境
系统	juniper	junos	19.1	-
运行在以下环境
系统	juniper	junos	19.2	-
运行在以下环境
系统	opensuse_Leap_15.2	qemu	*		Up to (excluding) 4.2.1-lp152.9.6.1
运行在以下环境
系统	oracle linux_7	qemu	*		Up to (excluding) 1.5.3-175.el7_9.3
运行在以下环境
系统	oracle_7	qemu	*		Up to (excluding) 1.5.3-175.el7_9.3
运行在以下环境
系统	oracle_8	qemu-kvm	*		Up to (excluding) 1.40.2-27.0.1.module+el8.4.0+20093+03a97712
运行在以下环境
系统	redhat_7	qemu-img	*		Up to (excluding) 10:1.5.3-175.el7_9.3
运行在以下环境
系统	redhat_7	qemu-img-ma	*		Up to (excluding) 10:2.12.0-48.el7_9.2
运行在以下环境
系统	redhat_8	qemu	*		Up to (excluding) 1.40.2-27.module+el8.4.0+9282+0bdec052
运行在以下环境
系统	sles_12_SP5	qemu	*		Up to (excluding) 1.0.0
运行在以下环境
系统	suse_12_SP5	qemu	*		Up to (excluding) 3.1.1.1-45.1
运行在以下环境
系统	ubuntu_18.04_lts	qemu	*		Up to (excluding) 1:2.11+dfsg-1ubuntu7.31

攻击路径相邻
攻击复杂度低
权限要求无
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-78 OS命令中使用的特殊元素转义处理不恰当（OS命令注入）

正文

Juniper Networks Junos OS远程代码执行漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Host On-Demand up to 11.0.14 跨站脚本攻击

IBM Tealeaf Customer Experience 至 9.0.2 Replay Server File 路径遍历漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]