Каталог продукции

Juniper Networks предупредила о уязвимости в графической библиот

Компания Juniper Networks предупредила своих клиентов о серьезной уязвимости в графической библиотеке GD, которая может позволить злоумышленнику удаленно взять под контроль систему, работающую под управлением некоторых версий Junos OS.

Оповещение Juniper было разослано одновременно с предупреждением «Компьютерной команды экстренной готовности США» (US-CERT). В нем говорится, что уязвимы версии ОС Junos 12.1X46, 12.3X48, 15.1X49, 14.2, 15.1, 15.1X53, 16.1 и 16.2. Среди устройств, работающих под этим ПО, роутеры серий T и MX, а также четыре сетевых коммутатора Juniper.

Проблема (CVE-2016-3074) связана с использованием графической библиотеки GD (libgd), включенной в пакет PHP версий 4.3 и выше.

«В libgd 2.1.1 существует уязвимость, связанная со знаком у целочисленных переменных. Потенциально она может привести к переполнению динамической области памяти при обработке сжатых данных gd2», — говорится в рекомендации Juniper. Атакующие могут использовать эту проблему для исполнения произвольных команд или организации отказа в обслуживании.

Обнаружение библиотеки libgd задело широкий круг компаний, в том числе HP EnterpriseRed HatFedora и Debian, каждая из которых выпустила собственное предупреждение.

Клиентам предлагается обновить программное обеспечение до последних версий. Кроме того, есть и временное решение, подразумевающее отключенные некоторых служб (например J-Web или XNM-SSL), которые могут использовать встроенный PHP-скриптинг. Пользователи, которых касается эта уязвимость, также могут отказаться от использования Netconf и PyEZ с PHP.

«В дополнение к вышеупомянутым рекомендациям, также хорошо бы ограничить поверхность атаки сетевого оборудования, работающего в критической инфраструктуре. Используйте списки или фильтры фаервола для ограничения доступа к устройству только с надежных хостов», — советует Juniper.

По шкале CVSS, уязвимость libgd в коммутаторах и маршрутизаторах Juniper имеет показатель 8.1, что означает высокую степень риска.