Junos OS Evolved：MAC 表更改导致内存泄漏（CVE-2024-39557）

CVE编号

CVE-2024-39557

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-11

漏洞描述

在Juniper Networks Junos OS Evolved的Layer 2 Address Learning Daemon (l2ald)中存在一个未受控资源消耗漏洞。该漏洞允许未经身份验证的相邻攻击者导致内存泄漏，最终耗尽所有系统内存，从而导致系统崩溃和服务拒绝（DoS）。某些MAC表更新会导致少量内存泄漏。一旦内存利用率达到其限制，该问题将导致系统崩溃并重新启动。要识别此问题，请执行CLI命令：用户@设备>显示平台应用程序信息分配应用程序l2ald-agentEVL对象分配统计信息：节点 应用程序 上下文 名称 实时 分配失败 指引re0 l2ald-agent net::juniper::rtnh::L2Rtinfo 1069096 1069302 0 1069302re0 l2ald-agent net::juniper::rtnh::NHOpaqueTlv 114 195 0 195此问题影响Junos OS Evolved：* 所有版本低于21.4R3-S8-EVO，* 从22.2-EVO至低于22.2R3-S4-EVO的版本，* 从22.3-EVO至低于22.3R3-S3-EVO的版本，* 从22.4-EVO至低于22.4R3-EVO的版本，* 从低于23.2R2-EVO的版本的设备。

解决建议

"将组件 Junos OS Evolved 升级至 21.4R3-S8-EVO 及以上版本""将组件 Junos OS Evolved 升级至 22.2R3-S4-EVO 及以上版本""将组件 Junos OS Evolved 升级至 22.4R3-EVO 及以上版本""将组件 Junos OS Evolved 升级至 22.3R3-S3-EVO 及以上版本""将组件 Junos OS Evolved 升级至 23.2R2-EVO 及以上版本"

参考链接
https://supportportal.juniper.net/JSA83017

CVSS3评分 6.5

• 攻击路径 相邻
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 无

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com