Juniper Networks Junos OS 缓冲区错误漏洞

CVE编号

CVE-2019-0053

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-07-12

漏洞描述

Juniper Networks Junos OS是美国瞻博网络（Juniper Networks）公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。 Juniper Networks Junos OS中存在缓冲区错误漏洞，该漏洞源于程序没有充分验证环境变量。攻击者可利用该漏洞绕过veriexec限制。以下产品及版本受到影响：Juniper Networks Junos OS 12.3版本，12.3X48版本，14.1X53版本，15.1版本，15.1X49版本，15.1X53版本，16.1版本，16.2版本，17.1版本，17.2版本，17.3版本，17.4版本，18.1版本，18.2版本，18.2X75，18.3版本，18.4版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10947&actp=METADATA

参考链接
http://packetstormsecurity.com/files/153746/FreeBSD-Security-Advisory-FreeBSD...
https://kb.juniper.net/JSA10947
https://seclists.org/bugtraq/2019/Jul/45
https://security.FreeBSD.org/advisories/FreeBSD-SA-19:12.telnet.asc
https://www.exploit-db.com/exploits/45982

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	debian_10	inetutils	*		Up to (excluding) 1.9.4-7+deb10u1
	运行在以下环境
	系统	debian_10	socks4-server	*		Up to (excluding) 1.9.4-7+deb10u1
	运行在以下环境
	系统	debian_9	inetutils	*		Up to (excluding) 1.9.4-2
	运行在以下环境
	系统	debian_9	socks4-server	*		Up to (excluding) 1.9.4-2
	运行在以下环境
	系统	juniper	junos	12.3	-
	运行在以下环境
	系统	juniper	junos	12.3r12	-
	运行在以下环境
	系统	juniper	junos	12.3x48	-
	运行在以下环境
	系统	juniper	junos	14.1x53	-
	运行在以下环境
	系统	juniper	junos	15.1	-
	运行在以下环境
	系统	juniper	junos	15.1x49	-
	运行在以下环境
	系统	juniper	junos	15.1x53	-
	运行在以下环境
	系统	juniper	junos	16.1	-
	运行在以下环境
	系统	juniper	junos	16.2	-
	运行在以下环境
	系统	juniper	junos	17.1	-
	运行在以下环境
	系统	juniper	junos	17.2	-
	运行在以下环境
	系统	juniper	junos	17.3	-
	运行在以下环境
	系统	juniper	junos	17.4	-
	运行在以下环境
	系统	juniper	junos	18.1	-
	运行在以下环境
	系统	juniper	junos	18.2	-
	运行在以下环境
	系统	juniper	junos	18.2x75	-
	运行在以下环境
	系统	juniper	junos	18.3	-
	运行在以下环境
	系统	juniper	junos	18.4	-
查看完整数据

阿里云评分 2.6

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-787 跨界内存写