Закрыты критические уязвимости в сторонних компонентах Junos OS и STRM

На этой неделе Juniper Networks выпустила новую порцию патчей для своих продуктов. Устранены десятки уязвимостей, в том числе критические дыры в неродных компонентах Junos OS и решения Security Threat Response Manager (STRM).

В частности, в своей ОС разработчик закрыл семь очень опасных уязвимостей (по 9,8 балла CVSS), возникших из-за использования Expat — потокоориентированной библиотеки парсинга XML. Патчи включены в состав сборок Junos OS с 19.4 по 22.2; для снижения рисков Juniper советует использовать списки доступа или фильтрацию на уровне межсетевого экрана.

Устранена CVE-2022-42889, критическая уязвимость удаленного исполнения кода в Apache Commons Text, opensource-модуле STRM. Угрозу эксплойта снимет обновление софта до версии STRM 7.5.0UP4 или выше.

В Junos OS и Junos OS Evolved также пропатчено множество уязвимостей высокой степени опасности. Самые серьезные из них грозят инъекцией команд и исполнением стороннего кода с привилегиями root.

Менее опасные проблемы этих ОС позволяют вызвать сбой программы (DoS), получить доступ к конфиденциальной информации либо обойти защитные механизмы (проверку целостности данных, фильтрацию сетевых пакетов, блокировку трафика, ограничение консольного доступа).

Обновлен также инструмент тестирования сетей Paragon Active Assurance (ранее Netrounds). В нем устранена возможность обхода правил и ограничений внутренних коммуникаций, заданных на файрволе.

Новые бюллетени по безопасности опубликованы на сайте техподдержки Juniper. Данных о злонамеренном использовании какой-либо только что закрытой лазейки нет.