Juniper Networks Junos OS 安全漏洞更新

关键要点

• Juniper Networks 在其 SRX 和 EX 系列的所有 Junos OS 版本上暴露出四个重大安全漏洞。
• 漏洞可能被链式利用，实现 。
• 漏洞已在一次“非周期性”更新中修复，详情见 。
• 涉及的漏洞包括PHP外部变量修改问题以及关键功能的缺失认证漏洞。
• 建议受影响的组织立即应用更新，并限制或禁用 J-Web 进行缓解。

最近，Juniper Networks 在其 SRX 和 EX 系列的所有Juniper Networks Junos OS版本上发现了四个关键安全漏洞。这些漏洞可能被关联利用，导致 。据报道，这些漏洞已通过一次“非周期性”更新得到解决，您可以在 找到更多信息。

此次修复的漏洞中，包括在操作系统的 J-Web 组件中发现的 PHP 外部变量修改漏洞，分别被标识为 CVE-2023-36844 和
CVE-2023-36845。这些漏洞可能被未经认证的网络攻击者利用，从而接管特定的环境变量。此外，还有缺失认证的关键功能漏洞，标识为
CVE-2023-36846 和 CVE-2023-36847，这些漏洞可能被利用，导致有限的文件系统完整性影响。

根据Juniper Networks的说法，成功利用这些漏洞需要对某些PHP环境变量进行修改，或者通过 J-Web上传任意文件。因此，该公司已经强烈建议用户立即应用此更新以保护系统安全。

漏洞标识 | 漏洞类型 | 风险等级 | 建议措施
—|—|—|—
CVE-2023-36844 | PHP 外部变量修改漏洞 | 高 | 修复更新，限制访问或禁用 J-Web
CVE-2023-36845 | PHP 外部变量修改漏洞 | 高 | 修复更新，限制访问或禁用 J-Web
CVE-2023-36846 | 缺失认证关键功能漏洞 | 中 | 修复更新，限制访问或禁用 J-Web
CVE-2023-36847 | 缺失认证关键功能漏洞 | 中 | 修复更新，限制访问或禁用 J-Web

额外建议

所有使用受影响操作系统实例的组织应考虑实施补救措施，比如限制 J-Web的访问，或完全禁用该功能，以减少潜在的远程代码执行攻击风险。确保系统安全是组织防范网络攻击的重要步骤。