Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поставляемых с JunOS"	+/–
Сообщение от opennews (ok), 30-Окт-22, 21:11
В web-интерфейсе J-Web, который используется в сетевых устройствах компании Juniper, оснащённых операционной системой JunOS, выявлено несколько уязвимостей, наиболее опасная из которых (CVE-2022-22241) позволяет удалённо без прохождения аутентификации выполнить свой код в системе через отправку специально оформленного HTTP-запроса. Пользователям оборудования Juniper рекомендовано установить обновление прошивки, а если это невозможно, проследить, чтобы доступ к web-интерфейсу был заблокирован из внешних сетей и ограничен только заслуживающими доверия хостами... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58010
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от topin89 (ok), 30-Окт-22, 21:11	+3 +/–
А вот если бы писали на расте... Вообще бы ничего не изменилось, ошибка в логике, а не в памяти
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #22, #31

2. Сообщение от Аноним (2), 30-Окт-22, 21:14	+2 +/–
тсс, не говори об этом растоманам. Ты же не скажешь ребенку, что Деда Мороза нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #27

3. Сообщение от Аноним (3), 30-Окт-22, 21:48	+3 +/–
> phar:// Шо, опять?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #12

6. Сообщение от Аноним (6), 30-Окт-22, 22:11	+4 +/–
Главное, чтобы починили не как некоторые, ну там типа if (useragent =~ /curl/) {return 403;}
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13

7. Сообщение от Аноним (7), 30-Окт-22, 22:14	+/–
Дед Мороз самый безопасный на свете!!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от penetrator (?), 30-Окт-22, 22:34	+/–
для топового сегмента такой шлак в качестве кода как-то даже слух режет
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

11. Сообщение от Аноним (24), 30-Окт-22, 22:48	+/–
> для топового сегмента такой шлак Называть шлак топовым сегментом - как-то даже слух режет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от пох. (?), 30-Окт-22, 22:53	+/–
Не понимаю, что не так с моим каталогом? > mkdir phar: > cp -rp .config phar:// > echo $? 0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

13. Сообщение от пох. (?), 30-Окт-22, 22:57	–1 +/–
У этих некоторых в промышленных железках (а не в тех домашних недоразумениях в которых if curl)  хотя бы нет до сих пор php. Правда и им рекомендуют первым делом no ip http server / no ip http secure-server без всяких церемоний. (ну а у чего поприличней его и в принципе нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от ИмяХ (?), 30-Окт-22, 22:58	+/–
>>fileName=\..\..\..\..\ Подскажите, какой язык, защищает от уязвимостей, связанных с некорректными путями файлов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #17, #20

15. Сообщение от Аноним (24), 30-Окт-22, 22:59	+1 +/–
> Подскажите, какой язык ... Мозг!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #18

16. Сообщение от Аноним (16), 30-Окт-22, 23:21	–2 +/–
Язык? Может библиотеки для языка все-таки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

17. Сообщение от Без аргументов (?), 30-Окт-22, 23:29	+/–
в Go изкоробки есть функция ServeFile, она проверяет эту ерунду. Но почему-то только она не возвращет ошибок (или я просто не разобрался как-то иначе?).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от Без аргументов (?), 30-Окт-22, 23:30	+1 +/–
Да, понимание хотя бы принципа работы системы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от Аноним (19), 30-Окт-22, 23:32	–1 +/–
Скорее ядра для ОС. Единственное решение это ОС без путей и ядро без подобной функциональности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 31-Окт-22, 01:51	+1 +/–
Язык политик безопасности SELinux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #33

21. Сообщение от Herrasim Muhmuh (?), 31-Окт-22, 02:06	–9 +/–
А я всегда говорил, что тру-железяки только от Mikrotik.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

22. Сообщение от Аноним (22), 31-Окт-22, 02:38	–4 +/–
Потому и писали на PHP а не Си, чтобы не было ошибки по-памяти. Которые суть 70% всех критических уязвимостей. Когда речь о 70% процентах, можно смело утверждать что Си-подобные языки перекатываются в ЛЕГАСИ-режим после появления альтернативы. А писатели на них в некрофилов, утят, или просто несмогших.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #24

24. Сообщение от Аноним (24), 31-Окт-22, 07:04	+/–
> Которые суть 70% всех критических уязвимостей Как ни странно, но практически критическими оказываются оставшиеся 30%, потому что их на порядки проще эксплуатировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от onanim (?), 31-Окт-22, 10:04	+/–
эта новость вернула мне мой 2007-ой
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от valery_kolganov (ok), 31-Окт-22, 10:32	+/–
"Пользователям оборудования Juniper рекомендовано установить обновление прошивки". Juniper ушел в свете санкций, обновления недоступны для пользователей из России.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

27. Сообщение от 1 (??), 31-Окт-22, 10:34	+2 +/–
Ты гонишь ! Как это нет Деда Мороза ? O_o
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

28. Сообщение от 1 (??), 31-Окт-22, 10:36	+1 +/–
Ну значит новость была не для тебя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от InuYasha (??), 31-Окт-22, 11:58	+/–
php, ajax на таких мегароторах... ну, гениально, чо. Ещё бы HTML5 и стриминг видео из консоли. ) Хотя, конечно, такое обычно сразу во внутренние сетки заворачивается, либо отключается вовсе.
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от АнонимкаРастуимка (?), 31-Окт-22, 12:04	+1 +/–
Не понял?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от Атон (?), 31-Окт-22, 18:09	+/–
А много Juniper выставлены вебинтерфейсом в публичную сеть? По умолчанию, всё управление сетевыми железками (telnet,ssh,web) убрано в приватный VLAN.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

33. Сообщение от Аноним (33), 31-Окт-22, 19:32	+/–
>связанных с некорректными путями файлов Тогда уж AppArmor.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

34. Сообщение от Аноним (33), 31-Окт-22, 19:34	+/–
Тру только те из них, на которые можно воодрузить OpenWRT. А так MikrotikOS та ещё дырень в безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

35. Сообщение от Аноним (35), 31-Окт-22, 20:49	+/–
Усилю: много Juniper выставлено С вебинтерфейсом? :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема