漏洞描述 Juniper官方发布安全公告修复Juniper Networks Junos OS中J-Web和基于Web的(HTTP / HTTPS)服务中的漏洞(CVE-2020-1631),Junos OS设备的J-Web服务、Web身份验证模块、动态VPN(DVPN)、带有Web重定向的防火墙身份验证及零接触配置(ZTP)所使用的HTTP/HTTPS服务接口存在本地文件包含(LFI)和路径遍历漏洞。攻击者可利用该漏洞向httpd.log文件注入命令,读取文件或获取J-Web会话令牌。建议使用该系统的用户尽快升级版本或采取缓解措施进行防护。 Juniper Networks Junos OS是美国瞻博网络(Juniper Networks)公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统以可靠性、安全性和灵活性为核心,提供了安全编程接口和Junos SDK。 漏洞编号 CVE-2020-1631 漏洞危害 攻击者利用此漏洞,可实现命令注入或获取J-Web会话令牌。 漏洞等级 受影响版本 Junos OS 12.3,Junos OS 12.3X48,Junos OS 14.1X53,Junos OS 15.1,Junos OS 15.1X49,Junos OS 17.2,Junos OS 17.3,Junos OS 17.4,Junos OS 18.1,Junos OS 18.2,Junos OS 18.3,Junos OS 18.4,Junos OS 19.1,Junos OS 19.2,Junos OS 19.3,Junos OS 19.4,Junos OS 20.1 修复方案 1. 官方升级 2. 临时防护措施 参考链接 1. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11021 |