Juniper Networks kommutatorlarida qattiq kodlangan hisob ma’lumotlari topildi
Muammoni hal qilish uchun ishlab chiqaruvchi dasturiy ta’minot yangilanishini chiqardi.
Juniper Networks ma’lumotlar markazi tarmoq kommutatorlaridagi zaiflikni (CVE-2019-0034) tuzatdi. Muammo sensorlar va boshqa tarmoq ishlashini monitoring qilish qurilmalarini boshqarish uchun mo’ljallangan dasturiy ta’minot vositasi bo’lgan Junos Network Agent dasturida qattiq kodlangan hisob ma’lumotlari bilan bog’liq edi. Xususan, qattiq kodlangan hisob ma’lumotlari Junos Telemetry Interface bilan ishlatiladigan Google gRPC komponentida aniqlandi. «Junos Network Agent tomonidan ishlatiladigan gRPC konfiguratsiya fayllarida o’zgarmas hisob ma’lumotlari aniqlandi, ular Junos Network Agent tomonidan ba’zi muhim bo’lmagan ma’lumotlarni (sensor ma’lumotlari) ruxsatsiz o’qish uchun ishlatilishi mumkin edi. Bundan tashqari, Juniper Extension Toolkit (JET) orqali kirish mumkin bo’lgan APIlar qurilmada muhim bo’lmagan «o’rnatish» operatsiyalarini bajarishi mumkin», dedi Juniper Networks xavfsizlik bo’yicha maslahatida.
Zaif komponentlar Junosning bir qismi bo’lishi mumkin bo’lsa-da, qattiq kodlangan hisob ma’lumotlari faqat Junos Network Agent bilan Telemetry Interface ishlaydigan tarmoq kommutatorlarida mavjud. Junos Network Agentsiz qurilmalar zaif emas.
Administratorlar user@junos>show version | grep na telemetry buyrug’ini ishga tushirish va user@junos>JUNOS na telemetry [17.3R3-S3.3] natijasini tekshirish orqali Tarmoq Agentini zaiflik uchun sinab ko’rishlari mumkin. Agar muammo aniqlansa, eng so’nggi dasturiy ta’minot versiyasini o’rnatish tavsiya etiladi. Biroq, har doim yangilanishlarni o’rnatish tavsiya etiladi.
