▌作者：Tom Spring

▌翻译：360代码卫士团队

Juniper网络公司周四告警消费者称GD图形库中存在一个高危漏洞，可导致远程攻击者控制运行某些Junos操作系统版本的系统。

Juniper网络公司和US-CERT联合发布警告称，受影响的Junos操作版本是12.1X46、12.3X48、15.1X49、14.2、15.1、15.1X53、16.1和16.2。运行该软件的硬件包括路由器型号T系列和MX系列，以及四款Juniper交换机产品。

这个安全问题(CVE-2016-3074) 和绑定PHP版本4.3及以上版本的开源图像库GD图形库 (libgd) 的使用有关。

Juniper安全公告指出，“libgd 2.1.1中存在一个整数符号漏洞，当处理压缩的gd2数据时会触发堆溢出漏洞”。攻击者能利用这个漏洞执行任意命令或引发DoS条件。

对这个有缺陷的libgd库的使用影响了大量企业，包括HP Enterprise、Red Hat、Fedora和Debian。这些公司都分别发布了关于这个库的安全公告。

建议消费者将软件更新至最新版本。Juniper指出，目前已存在相关应变措施，包括禁用能够利用机载PHP脚本如J-Web和XNM-SSL。受影响用户也可选择停用Netconf和PyEZ.

Juniper建议“限制关键基础设施网络设备的可攻击面。使用访问列表或防火墙过滤器限制从受信任、管理员网络或主机访问设备。”

Juniper在交换机和路由器所使用libgd中的漏洞CVSS评分为8.1，被评为高危漏洞。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。