校园网络管理中心
网络安全
SANQUAN
当前位置: 首页  网络安全  安全预警
安全通告-Junos OS HTTP/HTTPS 服务高危漏洞
发布时间2020-05-02      浏览次数:19

漏洞描述

 Juniper官方发布安全公告修复Juniper Networks Junos OSJ-Web和基于Web的(HTTP / HTTPS)服务中的漏洞(CVE-2020-1631),Junos OS设备的J-Web服务、Web身份验证模块、动态VPNDVPN)、带有Web重定向的防火墙身份验证及零接触配置(ZTP)所使用的HTTP/HTTPS服务接口存在本地文件包含(LFI)和路径遍历漏洞。攻击者可利用该漏洞向httpd.log文件注入命令,读取文件或获取J-Web会话令牌。建议使用该系统的用户尽快升级版本或采取缓解措施进行防护。

 Juniper Networks Junos OS是美国瞻博网络(Juniper Networks)公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统以可靠性、安全性和灵活性为核心,提供了安全编程接口和Junos SDK

漏洞编号

 CVE-2020-1631

漏洞危害

攻击者利用此漏洞,可实现命令注入或获取J-Web会话令牌。

漏洞等级

高危

受影响版本

 Junos OS 12.3Junos OS 12.3X48Junos OS 14.1X53Junos OS 15.1Junos OS 15.1X49Junos OS 17.2Junos OS 17.3Junos OS 17.4Junos OS 18.1Junos OS 18.2Junos OS 18.3Junos OS 18.4Junos OS 19.1Junos OS 19.2Junos OS 19.3Junos OS 19.4Junos OS 20.1

修复方案

 1. 官方升级
目前Juniper官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://www.juniper.net/support/downloads/

 2. 临时防护措施
如果相关用户暂时无法进行升级操作,也可采用以下措施进行缓解:
使用以下命令禁用HTTP / HTTPS服务和DVPN(如果已配置DVPN
deactivate system services web-management
deactivate security dynamic-vpn
commit

参考链接

 1. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11021