Vulnérabilité dans le système d’exploitation Juniper Junos OS

Date de publication :

CVE-2021-0230 [Score CVSS v3 : 7.5] 
Une vulnérabilité concernant les plates-formes Juniper Networks Junos OS où l'agrégation de liens est configurée a été corrigée. L'exécution de toute opération qui récupère les statistiques de l'interface “Aggregated Ethernet” (AE), comme les requêtes SNMP GET, peut provoquer une fuite de mémoire lente du noyau, et ce jusqu’à un point où le trafic sera impacté et un redémarrage pourrait être nécessaire. Un attaquant distant et non authentifié peut exploiter cette faille afin de provoquer un déni de service.

Les indicateurs de compromission suivants peuvent être observés dans le journaux d'événement du noyau :

/kernel: rt_pfe_veto: Memory over consumed. Op 1 err 12, rtsm_id 0:-1, msg type 72

/kernel: rt_pfe_veto: free kmem_map memory = (20770816) curproc = kmd

Un administrateur peut utiliser la commande CLI suivante pour surveiller l'état de la consommation de mémoire (ifstat bucket):

user@device > show system virtual-memory no-forwarding | match ifstat

Type InUse MemUse HighUse Limit Requests Limit Limit Size(s)

ifstat 2588977 162708K - 19633958 <<<<

user@device > show system virtual-memory no-forwarding | match ifstat

Type InUse MemUse HighUse Limit Requests Limit Limit Size(s)

ifstat 3021629 189749K - 22914415 <<<<

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Ce problème ne concerne pas les plates-formes suivantes : 

  • Juniper Networks MX Series
  • Juniper Networks PTX1000-72Q, PTX3000, PTX5000, PTX10001, PTX10002-60C, PTX10003_160C, PTX10003_80C, PTX10003_81CD, PTX10004, PTX10008 et PTX10016 Series
  • Juniper Networks EX9200 Series
  • Juniper Networks ACX710 et ACX6360 Series
  • Juniper Networks NFX Series

Les versions suivantes de Juniper Junos OS sont impactées par ces vulnérabilités :

  • De 17.1R3 à 17.3R3-S11
  • De 17.4 à 17.4R3-S5
  • De 18.2 à 18.2R3-S7, 18.2R3-S8
  • De 18.3 à 18.3R3-S4
  • De 18.4 à 18.4R2-S7, 18.4R3-S6
  • De 19.1 à 19.1R3-S4
  • De 19.2 à 19.2R1-S6
  • De 19.3 à 19.3R3-S1
  • De 19.4 à 19.4R3-S1
  • De 20.1 à 20.1R2, 20.1R3
  • De 20.2 à 20.2R2-S2, 20.2R3
  • De 20.3 à 20.3R1-S2, 20.3R2

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour le système d’exploitation Junos Os vers une des versions suivantes :

  • 17.3R3-S11
  • 17.4R3-S5
  • 18.2R3-S7
  • 18.2R3-S8
  • 18.3R3-S4
  • 18.4R2-S7
  • 18.4R3-S6
  • 19.1R3-S4
  • 19.2R1-S6
  • 19.3R3-S1
  • 19.4R3-S1
  • 20.1R2
  • 20.1R3
  • 20.2R2-S2
  • 20.2R3
  • 20.3R1-S2
  • 20.3R2
  • 20.4R1

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens