Juniper Junos: 2024-04安全公告:Junos OS和Junos Evolved:使能LLDP,收到畸形LLDP报文, l2cpd崩溃(JSA75759) (CVE-2024-21618)
Description
Juniper Networks Junos和Junos Evolved的l2cpd第二层控制协议守护进程(Layer-2 Control Protocols Daemon, l2cpd)存在缓冲区结束后访问内存位置的漏洞, 未经身份验证的攻击者导致拒绝服务(DoS). 在所有的Junos OS和Junos OS进化平台, 在指定接口上使能LLDP, 收到一个畸形的LLDP报文, L2cpd崩溃并重启. l2cpd崩溃的影响是重新初始化STP协议, MSTP or VSTP), MVRP和ERP. Also, 如果任何服务依赖于LLDP状态(如PoE或VoIP设备识别), 那么这些也会受到影响. 此问题影响: Junos OS: * from 21.4 before 21.4R3-S4, * from 22.1 before 22.1R3-S4, * from 22.2 before 22.2R3-S2, * from 22.3 before 22.3R2-S2, 22.3R3-S1, * from 22.4 before 22.4R3, * from 23.2 before 23.2R2. Junos OS的演变: * from 21.21岁之前的4-EVO.4R3-S5-EVO, * from 22.1-EVO 22岁前.1R3-S4-EVO, * from 22.22岁之前的2-EVO.2R3-S2-EVO, * from 22.22岁之前的3-EVO.3R2-S2-EVO, 22.3R3-S1-EVO, * from 22.4-EVO 22岁前.4R3-EVO, * from 23.23岁前的2-EVO.2R2-EVO. 此问题不影响: * Junos操作系统版本在21之前.4R1; * Junos OS演进版本之前的21.4R1-EVO.
Solution(s)
- juniper-junos-os-upgrade-latest
使用Rapid7实时仪表板, 我对我的网络上的所有资产都有一个清晰的视图, 哪些是可以利用的, 以及我需要做些什么来实时减少环境中的风险. 没有其他工具能给我们这样的价值和洞察力.
- Scott Cheney, Sierra View医疗中心信息安全经理