Junos OS 和 Junos OS Evolved:带有身份验证的 BFD 会话中断导致 ppmd 内存泄漏 (CVE-2024-39536)

admin 2024-07-22 15:43:34 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Junos OS 和 Junos OS Evolved:带有身份验证的 BFD 会话中断导致 ppmd 内存泄漏 (CVE-2024-39536)

CVE编号

CVE-2024-39536

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-12
漏洞描述
Juniper Networks的Junos OS和Junos OS Evolved的周期性数据包管理守护程序(ppmd)中存在一个有效生命周期后未释放内存漏洞,允许未经身份验证的相邻攻击者导致拒绝服务(DoS)。当配置有身份验证的BFD会话出现波动时,ppmd内存可能会发生泄漏。泄漏是否发生取决于攻击者无法控制的竞态条件。这个问题只影响BFD在分布式(即委托的默认行为)或内联模式下运行的情况。是否发生泄漏可以通过以下CLI命令进行监控:“显示ppm请求队列”命令的输出显示持续增加的待处理请求数量是内存泄漏的迹象。例如:FPC     Pending-request fpc0                       2 request-total-pending: 2。这个漏洞影响以下版本的Junos OS:所有早于版本21.2R3-S8的版本;版本为21.4的所有版本早于版本21.4R3-S7的版本;版本为22.1的所有版本早于版本22.1R3-S4的版本;版本为22.2的所有版本早于版本22.2R3-S4的版本;版本为22.3的所有版本早于版本22.3R3的版本;版本为22.4的所有版本早于版本22.4R2-S2和版本为22.4R3的版本;以及所有版本早于版本为23.1R2的Junos OS版本。对于Junos OS Evolved,该漏洞影响所有早于版本为 21.2R3-S8-EVO 的版本;所有早于版本为 21.4R3-S7-EVO 的 21.4-EVO 版本;所有早于版本为 22.2R3-S4-EVO 的 22.2-EVO 版本;所有早于版本为 22.3R3-EVO 的 22.3-EVO 版本;所有早于版本为 23.4R3 的 23.4 版本;以及所有早于版本为 23.2R1 的 23.2 版本。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://supportportal.juniper.net/JSA82996
CVSS3评分 5.3
  • 攻击路径 相邻
  • 攻击复杂度 高
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 无
  • 完整性 无
CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0