关于Juniper Networks Junos OS权限提升漏洞的公告

一、漏洞概述

二、漏洞详情

Juniper Networks（瞻博网络）是全球领先的网络和安全解决方案提供商，其客户包括全球范围内的网络运营商、企业、政府机构以及研究和教育机构等。

7月13日，Juniper Networks发布安全公告，修复了其某些产品上的Junos OS中的一个本地提取漏洞（CVE-2022-22221），该漏洞的CVSS评分为7.8。

Juniper Networks SRX 和 EX 系列上的Junos OS的下载管理器中存在安全漏洞，经过身份验证且能够执行任何'request system download...'或'show system download ...'CLI命令的本地用户可以提升权限并控制设备。

三、处置建议

目前此漏洞已经修复，受影响的SRX 系列和 EX 系列用户可及时升级到Junos OS 版本19.1R3-S9、19.2R1-S9、19.2R3-S5、19.4R3-S8、20.2R3-S4、20.3R3-S3、20.4R3-S2、 20.4R3-S3、21.1R3-S1、21.2R2-S2、21.2R3、21.3R2、21.3R3、21.4R1-S1、21.4R2、22.1R1或更高版本。

下载链接：

https://supportportal.juniper.net/s/?language=en_US

四、参考链接

https://supportportal.juniper.net/s/article/2022-07-Security-Bulletin-Junos-OS-SRX-and-EX-Series-Local-privilege-escalation-flaw-in-download-functionality-CVE-2022-22221?language=en_US

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22221