[資安漏洞預警通知] Juniper Junos OS之NTP套件存在多個安全漏洞，允許攻擊者遠端執行任意程式碼，請儘速確認並進行修正

主旨：[資安漏洞預警通知] Juniper Junos OS之NTP套件存在多個安全漏洞，允許攻擊者遠端執行任意程式碼，請儘速確認並進行修正

• 內容說明:
  • Juniper Junos OS是Juniper Networks公司一套以FreeBSD為基礎所發展，專用於該公司網路設備的作業系統。
  • Juniper官方於10月份的安全建議與警訊中，公告Junos OS之NTP套件存在多個安全漏洞，其中又以CVE-2018-7183最為嚴重，當攻擊者針對使用Junos OS的網路設備進行NTP功能查詢時，藉由發送特製的惡意封包可使其decodearr函數出現緩衝區溢位情況，導致攻擊者可遠端執行任意程式碼。
• 影響平臺：
  • 所有使用Junos OS的網路設備，包含：
    • J系列
    • M系列
    • T系列
    • MX系列
    • EX系列
    • SRX系列
    • QFX系列
    • NFX系列
    • PTX系列
• 建議措施：
  • 目前Juniper官方已針對弱點釋出修復版本，請各機關可聯絡設備維護廠商將Junos OS升級至以下版本：
    • 12.1×46-D77
    • 12.3×48-D70
    • 12.3×54-D34
    • 12.3R12-S10
    • 12.3R13
    • 14.1×53-D47
    • 15.1×49-D140
    • 15.1×53-D490
    • 15.1×53-D471
    • 15.1×53-D234
    • 15.1×53-D67
    • 15.1×53-D59
    • 15.1R4-S9
    • 15.1R7-S1
    • 15.1R8
    • 16.1R4-S9
    • 16.1R6-S4
    • 16.1R7
    • 16.2R1-S7
    • 16.2R2-S6
    • 16.2R3
    • 17.1R1-S7
    • 17.1R2-S7
    • 17.1R3
    • 17.2R1-S6
    • 17.2R2-S4
    • 17.2R3
    • 17.3R1-S5
    • 17.3R2-S2
    • 17.3R3
    • 17.4R1-S4
    • 17.4R2
    • 18.1R2
    • 18.2×75-D5
    • 18.2R1
• 參考資料：
  1. https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10898
  2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7183
  3. https://www.ithome.com.tw/news/126377

計算機與通訊中心
網路系統組 敬啟