关键信息 漏洞编号: CVE-2015-3004 产品影响: 任何运行Junos OS并启用J-Web的产品或平台 严重程度: 低 CVSS评分: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N) 问题 Junos J-Web缺少'X-Frame-Options' HTTP头,可能允许对J-Web上的认证或未认证页面进行Clickjacking攻击。攻击者可能诱使J-Web用户执行某些管理任务。 解决方案 J-Web现在在HTTP响应中包含了适当的'X-Frame-Options'头。 对不支持'X-Frame-Options'头的旧浏览器,UI中也包含了防御代码。 修复此问题的软件版本包括:11.4R12、12.1X44-D35、12.1X46-D25、12.1X47-D10、12.3X48-D10、12.2R9、12.3R7、13.2R6、13.2X51-D20、13.3R5、14.1R3、14.1X53-D10、14.2R1以及所有后续版本。 解决方案补充信息 此问题正通过PR 969531跟踪,并在客户支持网站上可见。 解决方案修改信息 KB16765 - "哪些版本修复了漏洞?" 描述了每个支持的Junos版本中修复的漏洞。 解决方案变通办法 使用专门用于J-Web的浏览器,并在使用后注销或在不需要时禁用J-Web。 修改历史 2015-04-08: 初始发布 相关信息 KB16613: Juniper Networks SIRT季度安全公告发布流程概述 KB16765: 哪些版本修复了漏洞? KB16446: 通用漏洞评分系统(CVSS)和Juniper的安全公告 报告安全漏洞 - 如何联系Juniper Networks安全事件响应团队