В ОС Junos закрыты уязвимости, опасные для корпоративных сетевых устройств

Татьяна Никитина 31 Октября 2022 - 16:01

...

В ОС Junos закрыты уязвимости, опасные для корпоративных сетевых устройств

Компания Juniper Networks выпустила обновления для ОС Junos, устранив ряд недочетов в реализации интерфейса J-Web. Некоторые из выявленных уязвимостей позволяют добиться исполнения вредоносного кода.

Самой опасной разработчики сочли проблему CVE-2022-22241 (8,1 балла CVSS, по оценке Juniper), вызванную неадекватной проверкой пользовательского ввода. Эксплойт осуществляется удаленно и без аутентификации, путем отправки особого POST-запроса.

Атака потребует создания phar-файла, способного при обработке вызвать ошибку десериализации, которая может привести к исполнению заархивированного скрипта (PHP). Способы загрузки вредоносного архива на устройство могут быть различными — можно, например, выдать его за картинку и задействовать сервис передачи изображений, можно также подставить файл в кеш веб-контента.

Другие устраненные уязвимости (подробно рассмотрены в блоге Octagon Networks):

CVE-2022-22242 (6,1 балла CVSS) — возможность XSS-атаки; позволяет без аутентификации выполнить вредоносный скрипт в браузере жертвы в контексте текущей сессии;
CVE-2022-22243 (4,3 балла) — возможность инъекции команд в запросы XPath; эксплойт требует аутентификации; в связке с другими уязвимостями грозит раскрытием некоторых данных;
CVE-2022-22244 (5,3) — инъекция команд в запросы XPath; эксплойт не требует авторизации и в связке с другими уязвимостями может привести к частичной потере конфиденциальности;
CVE-2022-22245 (4,3) — выход за пределы рабочего каталога; эксплойт требует прав доступа и позволяет загрузить на устройство (но не исполнить!) любой файл в обход существующих проверок;
CVE-2022-22246 (7,5) — возможность подключения локальных файлов (LFI); эксплойт требует минимальных прав доступа и грозит исполнением недоверенного кода PHP; в связке с другими уязвимостями позволяет обойти аутентификацию и полностью скомпрометировать систему.

Пользователям рекомендуется обновить ОС Junos (список уязвимых и исправленных выпусков приведен в бюллетене Juniper).

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 25 Мая 2026 - 09:00

Домашние пользователи Корпорации

МойОфис уведомил сотрудников о предстоящем сокращении

Сотрудники компании «Новые облачные технологии», разработчика офисного пакета «МойОфис», начали получать по электронной почте уведомления о предстоящих сокращениях. Возможные увольнения могут затронуть все подразделения, за исключением службы технической поддержки.

О такой рассылке сообщают «Ведомости» со ссылкой на два источника, близких к компании. По словам одного из них, в штате могут остаться только сотрудники технической поддержки, тогда как остальных работников планируется уволить.

Точный масштаб сокращений источники не уточнили. При этом один из собеседников издания заявил, что некоторые подразделения попали под сокращение в полном составе.

«В чате бывших сотрудников „МойОфис“ состоит свыше 600 человек. Один из них говорит, что их пытались увольнять без компенсаций, но они организовали профсоюз. Тогда под угрозой исков персоналу начали предлагать нормальные условия расставания. По его словам, в ряде случаев трудящихся старались убрать под мнимыми предлогами, включая опоздания на работу на 10 минут, задержку отчётов по командировке на один день и прочее», — сообщил один из информаторов «Ведомостей».

Сообщения о массовых сокращениях в компании начали появляться в СМИ ещё в конце марта. Причиной назывались финансовые трудности, с которыми «Новые облачные технологии» столкнулись в конце 2025 года.

Позже появлялась информация о возможном прекращении выпуска офисного пакета, однако пресс-служба компании оперативно её опровергла. Кроме того, в компании напомнили о выходе нового релиза «МойОфис», который был представлен в тот же день.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!