URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128802
[ Назад ]

Исходное сообщение
"Уязвимости в web-интерфейсе сетевых устройств Juniper, поставляемых с JunOS"
Отправлено opennews , 30-Окт-22 21:11

В web-интерфейсе J-Web, который используется в сетевых устройствах компании Juniper, оснащённых операционной системой JunOS, выявлено несколько уязвимостей, наиболее опасная из которых (CVE-2022-22241) позволяет удалённо без прохождения аутентификации выполнить свой код в системе через отправку специально оформленного HTTP-запроса. Пользователям оборудования Juniper рекомендовано установить обновление прошивки, а если это невозможно, проследить, чтобы доступ к web-интерфейсу был заблокирован из внешних сетей и ограничен только заслуживающими доверия хостами...
Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58010

Содержание

Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,topin89, 21:11 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 21:14 , 30-Окт-22
  - Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 22:14 , 30-Окт-22
  - Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,1, 10:34 , 31-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 02:38 , 31-Окт-22
  - Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 07:04 , 31-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,АнонимкаРастуимка, 12:04 , 31-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 21:48 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 22:11 , 30-Окт-22
  - Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,пох., 22:57 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,пох., 22:53 , 30-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,penetrator, 22:34 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 22:48 , 30-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,ИмяХ, 22:58 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 22:59 , 30-Окт-22
  - Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Без аргументов, 23:30 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 23:21 , 30-Окт-22
  - Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 23:32 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Без аргументов, 23:29 , 30-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 01:51 , 31-Окт-22
  - Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 19:32 , 31-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Herrasim Muhmuh, 02:06 , 31-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 19:34 , 31-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,onanim, 10:04 , 31-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,valery_kolganov, 10:32 , 31-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,1, 10:36 , 31-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,InuYasha, 11:58 , 31-Окт-22
Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Атон, 18:09 , 31-Окт-22
- Уязвимости в web-интерфейсе сетевых устройств Juniper, поста...,Аноним, 20:49 , 31-Окт-22

Сообщения в этом обсуждении

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено topin89 , 30-Окт-22 21:11

А вот если бы писали на расте... Вообще бы ничего не изменилось, ошибка в логике, а не в памяти

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 21:14

тсс, не говори об этом растоманам. Ты же не скажешь ребенку, что Деда Мороза нет?

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 22:14

Дед Мороз самый безопасный на свете!!!!

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено 1 , 31-Окт-22 10:34

Ты гонишь ! Как это нет Деда Мороза ? O_o

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 31-Окт-22 02:38

Потому и писали на PHP а не Си, чтобы не было ошибки по-памяти. Которые суть 70% всех критических уязвимостей.
Когда речь о 70% процентах, можно смело утверждать что Си-подобные языки перекатываются в ЛЕГАСИ-режим после появления альтернативы. А писатели на них в некрофилов, утят, или просто несмогших.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 31-Окт-22 07:04

> Которые суть 70% всех критических уязвимостей
Как ни странно, но практически критическими оказываются оставшиеся 30%, потому что их на порядки проще эксплуатировать.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено АнонимкаРастуимка , 31-Окт-22 12:04

Не понял?

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 21:48

> phar://
Шо, опять?

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 22:11

Главное, чтобы починили не как некоторые, ну там типа if (useragent =~ /curl/) {return 403;}

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено пох. , 30-Окт-22 22:57

У этих некоторых в промышленных железках (а не в тех домашних недоразумениях в которых if curl) хотя бы нет до сих пор php.
Правда и им рекомендуют первым делом no ip http server / no ip http secure-server без всяких церемоний.
(ну а у чего поприличней его и в принципе нет)

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено пох. , 30-Окт-22 22:53

Не понимаю, что не так с моим каталогом?
> mkdir phar:
> cp -rp .config phar://
> echo $?
0

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено penetrator , 30-Окт-22 22:34

для топового сегмента такой шлак в качестве кода как-то даже слух режет

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 22:48

> для топового сегмента такой шлак
Называть шлак топовым сегментом - как-то даже слух режет.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено ИмяХ , 30-Окт-22 22:58

>>fileName=\..\..\..\..\
Подскажите, какой язык, защищает от уязвимостей, связанных с некорректными путями файлов?

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 22:59

> Подскажите, какой язык ...
Мозг!

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Без аргументов , 30-Окт-22 23:30

Да, понимание хотя бы принципа работы системы

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 23:21

Язык? Может библиотеки для языка все-таки?

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 30-Окт-22 23:32

Скорее ядра для ОС. Единственное решение это ОС без путей и ядро без подобной функциональности.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Без аргументов , 30-Окт-22 23:29

в Go изкоробки есть функция ServeFile, она проверяет эту ерунду. Но почему-то только она не возвращет ошибок (или я просто не разобрался как-то иначе?).

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 31-Окт-22 01:51

Язык политик безопасности SELinux.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 31-Окт-22 19:32

>связанных с некорректными путями файлов
Тогда уж AppArmor.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Herrasim Muhmuh , 31-Окт-22 02:06

А я всегда говорил, что тру-железяки только от Mikrotik.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 31-Окт-22 19:34

Тру только те из них, на которые можно воодрузить OpenWRT. А так MikrotikOS та ещё дырень в безопасности.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено onanim , 31-Окт-22 10:04

эта новость вернула мне мой 2007-ой

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено valery_kolganov , 31-Окт-22 10:32

"Пользователям оборудования Juniper рекомендовано установить обновление прошивки". Juniper ушел в свете санкций, обновления недоступны для пользователей из России.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено 1 , 31-Окт-22 10:36

Ну значит новость была не для тебя.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено InuYasha , 31-Окт-22 11:58

php, ajax на таких мегароторах... ну, гениально, чо. Ещё бы HTML5 и стриминг видео из консоли. ) Хотя, конечно, такое обычно сразу во внутренние сетки заворачивается, либо отключается вовсе.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Атон , 31-Окт-22 18:09

А много Juniper выставлены вебинтерфейсом в публичную сеть?
По умолчанию, всё управление сетевыми железками (telnet,ssh,web) убрано в приватный VLAN.

"Уязвимости в web-интерфейсе сетевых устройств Juniper, поста..."
Отправлено Аноним , 31-Окт-22 20:49

Усилю: много Juniper выставлено С вебинтерфейсом? :-)