据外媒报道,美国知名网络通讯设备厂商瞻博网络( Juniper Networks )于 8 月 10 日发布安全警报,宣称 Juniper 路由器与交换机的开源 GD 图形库( libgd )2.1.1 版本存在 CVSS 分值 8.1 的高危漏洞( CVE-2016-3074 ),允许黑客远程操控部分版本的 Junos OS 系统。
调查显示,受影响的 Junos OS 系统版本为 12.1 X46、12.3 X48、15.1 X49、14.15、15.1、15.1 X53、16.1 与 16.2,其中运行上述软件的硬件产品包括 Juniper 路由器 T 系列与 MX 系列,以及四款 Juniper 交换机。Juniper 安全顾问表示,该漏洞允许黑客在用户处理 gd2 压缩数据出现堆溢出时,执行任意代码或实施拒绝服务攻击。
据悉,使用以上漏洞产品的企业在过去一年内普遍遭受影响,其中不乏知名企业 HP Enterprise、Red Hat、Fedora 与 Debian 等。目前,各家企业已发布安全公告,建议用户更新软件、限制关键基础设施联网设备可利用攻击面,并使用访问列表或防火墙过滤器限制访问可信网络设备。
原作者:Tom Spring,译者:青楚,译审:游弋
from hackernews.cc.thanks for it.