教育機構ANA通報平台

發布編號

TACERT-ANA-2018101503101111

發現時間

2018-10-12 00:00:00

發佈時間

2018-10-15 15:18:13

事故類型

ANA-漏洞預警

影響等級

主旨說明

【漏洞預警】Juniper Junos OS之NTP套件存在多個安全漏洞,允許攻擊者遠端執行任意程式碼,請儘速確認並進行修正

內容說明

[內容說明]:

轉發國家資安資訊分享與分析中心 資安訊息警訊 NCCST-ANA-G2018-0182。

Juniper Junos OS是Juniper Networks公司一套以FreeBSD為基礎所發展,專用於該公司網路設備的作業系統。

Juniper官方於10月份的安全建議與警訊中,公告Junos OS之NTP套件存在多個安全漏洞,其中又以CVE-2018-7183最為嚴重,當攻擊者針對使用Junos OS的網路設備進行NTP功能查詢時,藉由發送特製的惡意封包可使其decodearr函數出現緩衝區溢位情況,導致攻擊者可遠端執行任意程式碼。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

影響平台

[影響平台:]
所有使用Junos OS的網路設備,包含:

.J系列

.M系列

.T系列

.MX系列

.EX系列

.SRX系列

.QFX系列

.NFX系列

.PTX系列

建議措施

[建議措施:]

目前Juniper官方已針對弱點釋出修復版本,請各機關可聯絡設備維護廠商將Junos OS升級至以下版本:

.12.1X46-D77

.12.3X48-D70

.12.3X54-D34

.12.3R12-S10

.12.3R13

.14.1X53-D47

.15.1X49-D140

.15.1X53-D490

.15.1X53-D471

.15.1X53-D234

.15.1X53-D67

.15.1X53-D59

.15.1R4-S9

.15.1R7-S1

.15.1R8

.16.1R4-S9

.16.1R6-S4

.16.1R7

.16.2R1-S7

.16.2R2-S6

.16.2R3

.17.1R1-S7

.17.1R2-S7

.17.1R3

.17.2R1-S6

.17.2R2-S4

.17.2R3

.17.3R1-S5

.17.3R2-S2

.17.3R3

.17.4R1-S4

.17.4R2

.18.1R2

.18.2X75-D5

.18.2R1

參考資料

[參考資料]:

1. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10898

2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7183

3. https://www.ithome.com.tw/news/126377

備註

公告出處:
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw