Junos OS 和 Junos OS Evolved：收到特定 LLDP 数据包时会发生 l2cpd 崩溃 (CVE-2023-36839)

CVE编号

CVE-2023-36839

利用情况

暂无

补丁情况

N/A

披露时间

2023-10-13

漏洞描述

Juniper Networks Junos OS和Junos OS Evolved中的Layer-2控制协议守护程序（l2cpd）存在未经认证的相邻攻击者发送特定LLDP数据包引发拒绝服务（DoS）的漏洞。当设备接收到特定LLDP数据包并在进行遥测轮询时，就会出现此问题。l2cpd崩溃的影响是STP协议（RSTP、MSTP或VSTP）和MVRP以及ERP的重新初始化。此外，如果任何服务依赖于LLDP状态（如PoE或VoIP设备识别），那么这些服务也会受到影响。此漏洞影响以下版本：Juniper Networks Junos OS：所有早于20.4R3-S8的版本；21.1版本21.1R1及后续版本；21.2版本早于21.2R3-S5；21.3版本早于21.3R3-S4；21.4版本早于21.4R3-S3；22.1版本早于22.1R3-S2；22.2版本早于22.2R3；22.3版本早于22.3R2-S2；22.4版本早于22.4R2。Juniper Networks Junos OS Evolved：所有早于20.4R3-S8-EVO的版本；21.1版本21.1R1-EVO及后续版本；21.2版本早于21.2R3-S5-EVO；21.3版本早于21.3R3-S4-EVO；21.4版本早于21.4R3-S3-EVO；22.1版本早于22.1R3-S2-EVO；22.2版本早于22.2R3-EVO；22.3版本早于22.3R2-S2-EVO；22.4版本早于22.4R1-S1-EVO。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://supportportal.juniper.net/JSA73171

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	juniper	junos	*		Up to (excluding) 20.4
	运行在以下环境
	系统	juniper	junos	20.4	-
	运行在以下环境
	系统	juniper	junos	21.1	-
	运行在以下环境
	系统	juniper	junos	21.2	-
	运行在以下环境
	系统	juniper	junos	21.3	-
	运行在以下环境
	系统	juniper	junos	21.4	-
	运行在以下环境
	系统	juniper	junos	22.1	-
	运行在以下环境
	系统	juniper	junos	22.2	-
	运行在以下环境
	系统	juniper	junos	22.3	-
	运行在以下环境
	系统	juniper	junos	22.4	-
	运行在以下环境
	系统	juniper	junos_os_evolved	*		Up to (excluding) 20.4
	运行在以下环境
	系统	juniper	junos_os_evolved	20.4	-
	运行在以下环境
	系统	juniper	junos_os_evolved	21.1	-
	运行在以下环境
	系统	juniper	junos_os_evolved	21.2	-
	运行在以下环境
	系统	juniper	junos_os_evolved	21.3	-
	运行在以下环境
	系统	juniper	junos_os_evolved	21.4	-
	运行在以下环境
	系统	juniper	junos_os_evolved	22.1	-
	运行在以下环境
	系统	juniper	junos_os_evolved	22.2	-
	运行在以下环境
	系统	juniper	junos_os_evolved	22.3	-
	运行在以下环境
	系统	juniper	junos_os_evolved	22.4	-

CVSS3评分 6.5

• 攻击路径 相邻
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE-ID	漏洞类型
CWE-1284	Improper Validation of Specified Quantity in Input

Exp相关链接

- avd.aliyun.com