เมนู

JUNIPER ประกาศแก้ไขช่องโหว่บนผลิตภัณฑ์
Juniper Secure Analytics (JSA) หลายรายการ

2 มกราคม 2567 | ตนุภัทร พยัคฆพันธ์

Juniper Networks ประกาศการอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์ Juniper Secure Analytics (JSA) เพื่อแก้ไขปัญหาช่องโหว่หลายรายการในแพลตฟอร์ม JSA Series Virtual Appliance โดยมีช่องโหว่ที่มีระดับความรุนแรง (Critical) จำนวน 2 รายการ (CVE-2023-40787, CVE-2023-46604) และช่องโหว่ที่มีระดับความรุนแรง (High) จำนวน 7 รายการ โดย Attacker จะสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ได้ ทำให้ Attacker เข้าไปรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote Code Execution) และสามารถแทรกคำสั่ง SQL ที่เป็นอันตรายลงในอินพุตของแอปพลิเคชัน ส่งผลให้สามารถควบคุมการทำงานของฐานข้อมูลได้ เช่น ลบหรือเปลี่ยนแปลงแก้ไขข้อมูล เป็นต้น

รายละเอียดของช่องโหว่

ช่องโหว่ที่มีความรุนแรงระดับ (Critical) ประกอบด้วย

  1. CVE-2023-40787 (CVSS V3.1 Based Score: 9.8) เมื่อดำเนินการ Query SQL ข้อมูลพารามิเตอร์จะไม่อยู่ในเครื่องหมายคำพูด ซึ่งนำไปสู่การแทรกคำสั่ง SQL
  2. CVE-2023-46604 (CVSS V3.1 Based Score: 9.8) Attacker สามารถเข้าถึงเครือข่ายไปยัง Java-based OpenWire broker หรือสามารถเรียกใช้คำสั่ง Shell commands ได้ตามใจชอบ โดยจะเข้าไปจัดการ Serialize class ใน OpenWire protocol ได้

ช่องโหว่ที่มีความรุนแรงระดับอื่นๆ

ความรุนแรงระดับ (High)
CVE-2023-32233 (CVSS V3.1 Based Score: 7.8)
CVE-2023-34040 (CVSS V3.1 Based Score: 7.8)
CVE-2023-35001 (CVSS V3.1 Based Score: 7.8)
CVE-2023-36478 (CVSS V3.1 Based Score: 7.5)
CVE-2023-41835 (CVSS V3.1 Based Score: 7.5)
CVE-2023-44487 (CVSS V3.1 Based Score: 7.5)
CVE-2023-46589 (CVSS V3.1 Based Score: 7.5)

ความรุนแรงระดับ (Medium)
CVE-2023-47146 (CVSS V3.1 Based Score: 6.5)
CVE-2023-41080 (CVSS V3.1 Based Score: 6.1)
CVE-2023-26049 (CVSS V3.1 Based Score: 5.3)
CVE-2023-40167 (CVSS V3.1 Based Score: 5.3)
CVE-2023-42795 (CVSS V3.1 Based Score: 5.3)
CVE-2023-45648 (CVSS V3.1 Based Score: 5.3)
CVE-2023-36479 (CVSS V3.1 Based Score: 4.3)

ความรุนแรงระดับ (Low)
CVE-2023-22045 (CVSS V3.1 Based Score: 3.7)
CVE-2023-22049 (CVSS V3.1 Based Score: 3.7)

ผลิตภัณฑ์ที่ได้รับผลกระทบ

Juniper Secure Analytics (JSA) ทุกเวอร์ชันจนถึงเวอร์ชัน 7.5.0 UP7 คลิก

คำแนะนำหรือแนวทางแก้ไข

Juniper Networks ได้ให้คำแนะนำผู้ดูแลระบบหรือผู้ที่ใช้งานอุปกรณ์ที่ได้รับผลกระทบเข้าไปดำเนินการ Update ให้เป็น Version 7.5.0 UP7 IF03 คลิก

อ้างอิง