Juniper 近日發布更新以解決多個產品的安全性弱點

風險等級: 高度威脅
摘 要: 弱點通告:Juniper 近日發布更新以解決多個產品的安全性弱點,建議請管理者儘速評估更新!
影響系統:
  • Juniper Networks Contrail Networking 2011.L4 之前版本,
解決辦法: 請依照Juniper 官網更新至建議最新版本:
Juniper Networks Contrail Networking 2011.L4 (含)之後版本,
其他更新請參考官網 Jniper Networks Security Advisories。
細節描述: Juniper近日發布更新,以解決多個產品的安全性弱點。

(1) Apache HTTP Server 2.4.0 – 2.4.46 版本,由來源伺服器發送的偽造 SessionHeader可能會導致堆溢出情況。
(2) Pillow 8.2.0 (含)之前版本、PIL 1.1.7 (含)之前版本,允許攻擊者將受控參數直接傳遞到轉換函數,可能導致觸發Convert.c 中的緩衝區溢出情況。
(3) Pillow 8.2.0 (含)之前版本存在弱點。TiffDecode 在解碼偽造 YCbCr檔案時存在基於堆的緩衝區溢出情況,因為在 RGBA 模式下與 LibTIFF 存在某些不相容情況。
(4) Node.js 1.6.1 (含)之前版本存在弱點。該弱點為其中 xmlhttprequest-ssl 封包預設停用 SSL憑證驗證,在 Node.js 的 https.request 函數中,rejectUnauthorized 被判別為false,沒有驗證將辦判定拒絕存取情況。
(5) nginx 解析器存在安全性弱點,該弱點可能允許能夠從 DNS 伺服器偽造 UDP 封包的攻擊者導致 1字串長度記憶體被覆蓋,進而導致工作排程崩潰情況。
(6) 其他 Juniper Networks 更新細節請參考官網。

參考資訊: Juniper (support)
Juniper (2022-04)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *