Juniper Networks je u srijedu objavio zakrpe za desetine ranjivosti u Junos OS, Junos OS Evolved, kao i u softverskim zavisnostima trećih strana koje se koriste u Junos Space platformi.
Ispravke su objavljene za 11 bezbjednosnih propusta visokog stepena ozbiljnosti u Junos OS, od kojih bar jedan utiče i na Junos OS Evolved. Uspješna eksploatacija ovih propusta mogla bi dovesti do stanja uskraćivanja usluge (DoS – Denial of Service).
Bezbjednosni nedostaci su identifikovani u komponentama Junos OS-a kao što su: mehanizam za prosljeđivanje paketa (packet forwarding engine – pfe), demon za protok podataka (flow daemon – flowd), demon za protokole rutiranja (routing protocol daemon – rpd), obrada antivirusa, fleksibilni PIC koncentrator (flexible PIC concentrator – FPC), jdhcpd demon, web interfejsi za upravljanje, i TCP transport syslog strima.
Neki od ovih problema pogađaju samo određene Juniper uređaje, kao što su EX serija, MX serija ili SRX serija. Ažuriranja softvera su objavljena za sve pogođene proizvode, saopštila je kompanija.
Kompanija je takođe objavila zakrpe za 10 ranjivosti srednje ozbiljnosti u Junos OS i Junos OS Evolved, od kojih većina može izazvati DoS uslove.
Jedna od ranjivosti, međutim, mogla bi omogućiti lokalnom, autentifikovanom napadaču sa pristupom komandnoj liniji da dođe do osjetljivih informacija.
U srijedu je Juniper takođe najavio izdanje Junos Space verzije 24.1R3, sa zakrpama za skoro 50 ranjivosti u softveru trećih strana. Neke od ovih ranjivosti ocenjene su kao kritičnog stepena ozbiljnosti.
Objavljena je i verzija Junos Space Security Director 24.1R3 sa zakrpama za bezbjednosne propuste u zavisnostima trećih strana, isto kao i verzija CTP View 9.2R1.
Za većinu ranjivosti, kompanija ne pominje da su eksploatisane u stvarnim napadima, dok za neke konkretno navodi da nije svjesna malicioznih pokušaja da se iskoriste. Dodatne informacije dostupne su na stranici Juniper podrške.
Pored toga, kompanija je ažurirala bezbjednosno saopštenje iz marta 2025. godine za CVE-2025-21590, ranjivost u izolaciji ili segmentaciji u kernelu Junos OS, koja bi mogla biti iskorišćena od strane napadača sa pristupom shell-u da ubrizgaju proizvoljni kod i kompromituju uređaj.
U ažuriranju se pojašnjava da su ažuriranja Junos OS koja rješavaju ovu grešku već objavljena, ali da će određeni uređaji dobiti neophodne zakrpe u budućim verzijama platforme.
„Bar jedan slučaj maliciozne eksploatacije je prijavljen Juniper SIRT-u. Korisnicima se preporučuje da se što prije nadograde na verziju sa zakrpom, a u međuvremenu preduzmu korake kako bi ublažili ovu ranjivost“, navodi se u saopštenju Junipera.
Izvor: SecurityWeek
