Juniper Networks'ün Cuma günü Oturum Akıllı Yönlendiriciler için acil durum güncellemeleri gerektirmesinin ardından, şirket şimdi SRX serisi cihazlarda Junos işletim sistemi için hizmet dışı bir güncellemeyi takip ediyor. Hizmet reddi güvenlik açığını kapatırlar.
Duyuru
SRX serisi cihazlarda Junos İşletim Sistemi paket yönlendirme motorunda (PFE) olağandışı veya istisnai durumların yetersiz kontrol edilmesi, kimliği doğrulanmamış ağ saldırganlarının hizmet reddine neden olmasına olanak tanır. SRX cihazları, cihaza yönlendirilen belirli, geçerli bir trafik alırsa bu, PFE'nin kilitlenmesine ve yeniden başlatılmasına neden olur. Saldırganlar bu tür trafiği tekrar tekrar göndererek kalıcı bir DoS durumu oluşturabilir (CVE-2024-21586, CVSS) 7.5“Risk”yüksekCVSS 4.0 kriterlerine göre güvenlik açığı CVSS puanı 8.7'ye bile ulaşıyor ve “kritik” riski kıl payı kaçırıyor.
Güncellemeler güvenlik açığını kapatıyor
Juniper Networks'ün güvenlik danışma belgesinde yazarlar, etkilenen sürümlerin adlarını belirtmektedir. SRX 21.4, 22.1, 22.2, 22.3 ve 22.4 serisi cihazlardaki Junos işletim sistemi savunmasızdır. Juniper, güncellemelerin bazen yalnızca minimum sürüm atlamaları olduğunu, dolayısıyla sabit sürümler için en son sayının minimum sürüm olarak alınması gerektiğini açıklıyor. 21.4R3-S7.9, 22.1R3-S5.3, 22.2R3-S4.11, 22.3R3 ve 22.4R3 soketleri boşluğu kapatır. 21.4R1'den önceki sürümler bu güvenlik açığından etkilenmez.
Raporun yazarları, Juniper'ın henüz vahşi doğada herhangi bir istismardan haberdar olmamasına rağmen, üretim ortamlarında bu durumun birkaç kez meydana geldiğini açıklıyor. BT yöneticileri güncellemeleri kendi bildikleri yöntemlerle alırlar. Siber suçluların saldırı yüzeyini en aza indirmek için güncellemeleri hızlı bir şekilde yüklemelisiniz.
Geçen haftaki acil durum güncellemesi, kritik olarak sınıflandırılan bir güvenlik açığını kapattı. Juniper Networks'ün Oturum Akıllı Yönlendiricisini, Oturum Akıllı İletkenini ve WAN Güvence Yönlendiricisini etkiledi. Bu yönlendiriciler veya kanallar yedekli, yüksek kullanılabilirliğe sahip yapılandırmalarda çalışıyorsa, kimlik doğrulama atlanabilir.
(Bilmiyorum)
Duyuru
SRX serisi cihazlarda Junos İşletim Sistemi paket yönlendirme motorunda (PFE) olağandışı veya istisnai durumların yetersiz kontrol edilmesi, kimliği doğrulanmamış ağ saldırganlarının hizmet reddine neden olmasına olanak tanır. SRX cihazları, cihaza yönlendirilen belirli, geçerli bir trafik alırsa bu, PFE'nin kilitlenmesine ve yeniden başlatılmasına neden olur. Saldırganlar bu tür trafiği tekrar tekrar göndererek kalıcı bir DoS durumu oluşturabilir (CVE-2024-21586, CVSS) 7.5“Risk”yüksekCVSS 4.0 kriterlerine göre güvenlik açığı CVSS puanı 8.7'ye bile ulaşıyor ve “kritik” riski kıl payı kaçırıyor.
Güncellemeler güvenlik açığını kapatıyor
Juniper Networks'ün güvenlik danışma belgesinde yazarlar, etkilenen sürümlerin adlarını belirtmektedir. SRX 21.4, 22.1, 22.2, 22.3 ve 22.4 serisi cihazlardaki Junos işletim sistemi savunmasızdır. Juniper, güncellemelerin bazen yalnızca minimum sürüm atlamaları olduğunu, dolayısıyla sabit sürümler için en son sayının minimum sürüm olarak alınması gerektiğini açıklıyor. 21.4R3-S7.9, 22.1R3-S5.3, 22.2R3-S4.11, 22.3R3 ve 22.4R3 soketleri boşluğu kapatır. 21.4R1'den önceki sürümler bu güvenlik açığından etkilenmez.
Raporun yazarları, Juniper'ın henüz vahşi doğada herhangi bir istismardan haberdar olmamasına rağmen, üretim ortamlarında bu durumun birkaç kez meydana geldiğini açıklıyor. BT yöneticileri güncellemeleri kendi bildikleri yöntemlerle alırlar. Siber suçluların saldırı yüzeyini en aza indirmek için güncellemeleri hızlı bir şekilde yüklemelisiniz.
Geçen haftaki acil durum güncellemesi, kritik olarak sınıflandırılan bir güvenlik açığını kapattı. Juniper Networks'ün Oturum Akıllı Yönlendiricisini, Oturum Akıllı İletkenini ve WAN Güvence Yönlendiricisini etkiledi. Bu yönlendiriciler veya kanallar yedekli, yüksek kullanılabilirliğe sahip yapılandırmalarda çalışıyorsa, kimlik doğrulama atlanabilir.
(Bilmiyorum)