Juniper 近日發布更新以解決多個產品的安全性弱點

• Juniper Networks Contrail Networking 2011.L4 之前版本，

(1) Apache HTTP Server 2.4.0 – 2.4.46 版本，由來源伺服器發送的偽造 SessionHeader可能會導致堆溢出情況。
(2) Pillow 8.2.0 (含)之前版本、PIL 1.1.7 (含)之前版本，允許攻擊者將受控參數直接傳遞到轉換函數，可能導致觸發Convert.c 中的緩衝區溢出情況。
(3) Pillow 8.2.0 (含)之前版本存在弱點。TiffDecode 在解碼偽造 YCbCr檔案時存在基於堆的緩衝區溢出情況，因為在 RGBA 模式下與 LibTIFF 存在某些不相容情況。
(4) Node.js 1.6.1 (含)之前版本存在弱點。該弱點為其中 xmlhttprequest-ssl 封包預設停用 SSL憑證驗證，在 Node.js 的 https.request 函數中，rejectUnauthorized 被判別為false，沒有驗證將辦判定拒絕存取情況。
(5) nginx 解析器存在安全性弱點，該弱點可能允許能夠從 DNS 伺服器偽造 UDP 封包的攻擊者導致 1字串長度記憶體被覆蓋，進而導致工作排程崩潰情況。
(6) 其他 Juniper Networks 更新細節請參考官網。