The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В продуктах Juniper исправлены 22 уязвимости

11.10.2018 11:38

В операционной системе Junos, основанной на FreeBSD и используемой в различных сетевых устройствах компании Juniper, устранено 22 уязвимости. Большинство проблем позволяют удалённо инициировать отказ в обслуживании, вызвав крах как отдельных сервисов (RPD - Routing Protocols Daemon, flowd, jdhcpd, L2ALD, dcd, J-Web, telnetd ), так и ядра системы.

Кроме DoS-уязвимостей можно выделить следующие проблемы:

  • Возможность удалённого получения root-доступа на устройство без прохождения аутентификации. Проблема проявляется только при активном сервисе RSH и при отключенном PAM;
  • Некорректная конфигурация SSHD в Juniper Device Manager (JDM) и устройствах Juniper NFX позволяет получить удалённый доступ к системе без аутентификации, в случае если в системе задан хотя бы один пустой пароль (в настройках sshd разрешён вход с пустым паролем "PermitEmptyPasswords = yes");
  • Возможность запросить по DHCP присвоение клиенту определённого IP, несмотря на действующую привязку к MAC-адресу.
  • 6 уязвимостей в Junos Space Network Management Platform, среди которых локальные уязвимости, позволяющие поднять свои привилегии и возможность выполнения произвольных локальных модулей PKCS#11 удалённым атакующим, получившим доступ к перенаправленному сокету ssh-агента;
  • 6 уязвимостей в демоне синхронизации точного времени (ntpd), среди которых проблема CVE-2018-7183, позволяющая удалённо выполнить код в системе через отправку специально оформленного ответа;
  • Возможность получения полного контроля за шлюзами vSRX во время их загрузки.


  1. Главная ссылка к новости (https://kb.juniper.net/InfoCen...)
  2. OpenNews: Возможность обхода проверки сертификатов в продуктах Juniper на базе JUNOS
  3. OpenNews: Серия уязвимостей в продуктах Cisco, выявленных после публикации эксплоитов АНБ
  4. OpenNews: Определён универсальный пароль для входа на межсетевые экраны Juniper ScreenOS
  5. OpenNews: В межсетевых экранах Juniper выявлен бэкдор с функциями расшифровки трафика VPN
  6. OpenNews: Критическая уязвимость в коммутаторах Cisco
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49426-juniper
Ключевые слова: juniper
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:48, 11/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Правильно я понимаю, что все эти многочисленные DoS-ы свойственны  и FreeBSD, но разработчики FreeBSD не утруждают себя выпуском security advisories для DoS и локальных повышений привилегий?
     
     
  • 2.2, Аноним (2), 12:00, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Juniper и FreeBSD это примерно как Рабинович и Beatles.
     
  • 2.4, нах (?), 12:11, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    все правильно, разработчики freebsd считают проблему "permitemptypasswd=yes" (представляете, таки можно при этом зайти с пустым паролем, ну кто бы мог подумать?) находящейся в бестолковой прослойке между клавиатурой и креслом, и не видят смысла ее считать своей.

    исключение - CVE-2018-7183, но это проблема, держитесь за кресло - ntpq. Каким образом жунипер умудрился сделать ее проблемой своего _сервера_ - загадка природы.

    вероятно, какая-нибудь интуитивноприятная хрень внутри системы используется для мониторинга или чего еще, и при этом неразборчиво заглатывает пакеты не только с лупбэка, но и извне.

     
  • 2.5, Аноним84701 (ok), 12:24, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Правильно я понимаю, что все эти многочисленные DoS-ы свойственны  и FreeBSD, но разработчики FreeBSD не утруждают себя выпуском security advisories для DoS  и локальных повышений привилегий?

    В смысле:
    — поставить (депрекейтнутый и настойчиво несоветуемый) remote shell (RSH), отключив PAM
    — запустить sshd с "PermitEmptyPasswords = yes",  
    — проигнонировать выпуск патчей (и адвизоря в придачу) для ntp CVE-2018-7183 https://www.freebsd.org/security/advisories/FreeBSD-SA-18:02.ntp.asc
    > Module:         ntp
    > Announced:      2018-03-07
    > V.   Solution
    > Perform one of the following:
    >  1) Upgrade your vulnerable system to a supported FreeBSD stable or release / security branch (releng) dated after the correction date.

    — запилить свой блекдже^W вебтырьфейс с XSS и прочим радостями
    — собственную дырявую НЁХ типа "A vulnerability in the Routing Protocols Daemon (RPD) with Juniper Extension Toolkit (JET)"

    в пингвине нельзя? Тогда да, правильно.

     
     
  • 3.7, нах (?), 12:41, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > в пингвине нельзя?

    видимо, "получить локальный доступ без аутентификации" при перезагрузке и прямом доступе к консоли в нем тоже нельзя ;-)

     
     
  • 4.9, PnDx (ok), 12:54, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Таки можно. Заменив так или иначе sulogin на что попроще (bash например).
     
  • 2.8, eRIC (ok), 12:48, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Правильно я понимаю, что все эти многочисленные DoS-ы свойственны  и FreeBSD,
    > но разработчики FreeBSD не утруждают себя выпуском security advisories для DoS
    > и локальных повышений привилегий?

    НЕТ! эта реализация на стороне Juniper что в итоге дает эти уязвимости в ней.


     

  • 1.3, Michael Shigorin (ok), 12:01, 11/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > PermitEmptyPasswords = yes

    ЭнтерпрайзЪ.

     
     
  • 2.11, ыы (?), 16:04, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сказал - как отрезал...
     
  • 2.25, Ilya Indigo (ok), 14:20, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще удивлён что в sshd такая опция существует!
     

  • 1.6, F (?), 12:25, 11/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    На фоне проблем Микротика траблы Джуна мелки и никого не волнуют!
     
  • 1.10, Аноним (10), 15:38, 11/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > устранено 22 уязвимости

    Традиционный вопрос: в процентах это сколько?

     
     
  • 2.12, Business Edition (?), 16:05, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Это поверхностные дыры, просто BSD никому не интересна в отличии от пингвина.
     
     
  • 3.15, AS (??), 21:35, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дыры есть дыры. пролезут в твой "бусинесс нетворк" - о том какие они тебя будет интересовать в последнюю очередь.
     

  • 1.13, Gannet (ok), 20:18, 11/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всего-лишь 22 уязвимости, хэх... 8/
     
     
  • 2.16, Аноним (16), 23:20, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Всего-лишь 22 уязвимости, хэх... 8/

    Так это только устранённых :D

     
     
  • 3.32, Gannet (ok), 01:37, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Всего-лишь 22 уязвимости, хэх... 8/
    > Так это только устранённых :D

    Плюсую.

     

  • 1.14, DmA (??), 21:05, 11/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Прочитали похоже они доклад на опеннете, о найденных уявимостях
     
  • 1.17, Потный (?), 23:27, 11/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    PermitEmptyPasswords = yes

    А чё, так можно было?!

     
     
  • 2.42, Аноним (42), 08:43, 15/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно можно - любой каприз за ваши деньги.
     

  • 1.19, Sfinx (ok), 05:43, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    и кто-то пользуется этим дер#ьмом ? помнится лет 10 назад его безуспешно пытались двигать в СНГ сетевым маркетингом потные и злые мальчики. Особенно их бесило упоминание OpenWRT и Linux ;)
     
     
  • 2.21, пох (?), 12:01, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да, ты пользуешься, например, сейчас.

    > Особенно их бесило упоминание OpenWRT и Linux

    тебе показалось. их бесила твоя некомпетентность и то что твой начальник такого притащил с собой на совещание для взрослых.

    иди, расскажи ростелекому или, скажем, пчелайну что их оборудование надо выкинуть и заменить на пластиковые мыльницы с вжoпeнврт.

     
     
  • 3.22, Sfinx (ok), 12:49, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не, не пользуюсь, в Европе гавно не в почете как у тебя. А бесило их то, что такая же железка за $25 под Linux делала все лучше и быстрее. А главное безопаснее.
     
     
  • 4.24, zanswer CCNA RS S (?), 13:54, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Даже не могу представить, о чём идёт речь, что за устройство 25$ за вы противопоставляете всей линейке продуктов Juniper.
     
     
  • 5.26, Sfinx (ok), 16:43, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    разочарую, $25 железо стоило в то время - это был еще MIPS. Сейчас  плата на AllWinner стартует с $5 (NanoPI семейство for ex.). А для осуществления функции роутера достаточно всего 2-ух интерфейсов... Продуктом это дерьмо назвать очень сложно, это надо иметь пипец какую фантазию ж)
     
     
  • 6.27, zanswer CCNA RS S (?), 16:56, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для задач маршрутизации дома, возможно такоготустройства и хватит, но, что делать операторам? Juniper в первую очередь делает продукты для операторов и бизнеса, даже не для SOHO.
     
     
  • 7.29, Andrey Mitrofanov (?), 17:16, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Для задач маршрутизации дома, возможно такоготустройства и хватит, но, что делать операторам?
    > Juniper в первую очередь делает продукты для операторов и бизнеса, даже
    > не для SOHO.

    Прочь полумеры, только Альт -- никаких мыльниц (он не лезет в) [I]!
    http://www.opennet.dev/openforum/vsluhforumID3/115492.html#102

     
  • 7.43, Sfinx (ok), 09:46, 17/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Для задач маршрутизации дома, возможно такоготустройства и хватит, но, что делать операторам?
    > Juniper в первую очередь делает продукты для операторов и бизнеса, даже
    > не для SOHO.

    Суть дела не меняет - используются другие карты и другое железо, но тот же скрепный Linux внутри ;) Все зависит от задач, вот прям сейчас работаю с железякой у которой 8 x 10GbE и 2 x 40GbE. Делать то может они и делают - но кто ж им пользуется в успешном мире ? Как по мне - это кривые поделия для бедных, не более

     
     
  • 8.46, Michael Shigorin (ok), 23:23, 17/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вон неподалёку шелестит под альтом, ага железяка, на которой 32x 100GE, но Вам... текст свёрнут, показать
     
     
  • 9.47, Sfinx (ok), 07:02, 19/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    так и этим людям справедливо указали на каком дне находятся ISP, использующие эт... текст свёрнут, показать
     
  • 6.30, Аноним (30), 21:40, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А для осуществления функции роутера достаточно всего 2-ух интерфейсов.

    Сразу видно админа локалхоста. Нормальному роутеру достаточно 1-го физического сетевого интерфейса.

     
     
  • 7.34, Sfinx (ok), 07:01, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну да - lo ;)
     
     
  • 8.38, Аноним (38), 14:42, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это ему наверное на vlan так намекнули И таки это умеет даже половина мыльниц с... текст свёрнут, показать
     
  • 5.28, Sb (??), 16:58, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ладно, не кормите тролля. Он считает, что мыльница с этим софтом справится на магистралях и всеми теми объёмами. Этожтотжежлинуксж!

    Вообще конечно интересно, как раньше такое было нормой. Зайти в консоль не значило, что ты что-то можешь :)

     
     
  • 6.35, Sfinx (ok), 07:05, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ладно, не кормите тролля. Он считает, что мыльница с этим софтом
    > справится на магистралях и всеми теми объёмами. Этожтотжежлинуксж!
    > Вообще конечно интересно, как раньше такое было нормой. Зайти в консоль не
    > значило, что ты что-то можешь :)

    что ж ты мыльницы на магистрали-то суешь. а... такие у тебя "магистрали"... ну тогда на них можно легко и гавнююпер ставить.

     
  • 3.37, Аноним (38), 14:36, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > иди, расскажи ростелекому или, скажем, пчелайну что их оборудование надо выкинуть и
    > заменить на пластиковые мыльницы с вжoпeнврт.

    А два самых кривых и проблемных провайдера - специально выбраны или есть какие-то корреляции с обсудаемым предметом? :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру