美国瞻博 (Juniper) 路由器与交换机的开源 GD 图形库存在高危漏洞

据外媒报道，美国知名网络通讯设备厂商瞻博网络（ Juniper Networks ）于 8 月 10 日发布安全警报，宣称 Juniper 路由器与交换机的开源 GD 图形库（ libgd ）2.1.1 版本存在 CVSS 分值 8.1 的高危漏洞（ CVE-2016-3074 ），允许黑客远程操控部分版本的 Junos OS 系统。

调查显示，受影响的 Junos OS 系统版本为 12.1 X46、12.3 X48、15.1 X49、14.15、15.1、15.1 X53、16.1 与 16.2，其中运行上述软件的硬件产品包括 Juniper 路由器 T 系列与 MX 系列，以及四款 Juniper 交换机。Juniper 安全顾问表示，该漏洞允许黑客在用户处理 gd2 压缩数据出现堆溢出时，执行任意代码或实施拒绝服务攻击。

据悉，使用以上漏洞产品的企业在过去一年内普遍遭受影响，其中不乏知名企业 HP Enterprise、Red Hat、Fedora 与 Debian 等。目前，各家企业已发布安全公告，建议用户更新软件、限制关键基础设施联网设备可利用攻击面，并使用访问列表或防火墙过滤器限制访问可信网络设备。

原作者：Tom Spring，译者：青楚，译审：游弋

from hackernews.cc.thanks for it.