鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Juniper Networks SBR远程代码执行误差（CVE-2021-0276）

宣布时间 2021-07-19

0x00 误差概述

CVE ID	CVE-2021-0276	时间	2021-07-19
类型	RCE	等级	严重
远程使用	是	影响规模
攻击重漂后	低	可用性	高
用户交互	无	所需权限	无
PoC/EXP		在野使用	否

0x01 误差详情

2021年7月14日，，，，，Juniper Networks宣布清静通告，，，，，其Steel-Belted Radius Carrier Edition（SBR运营商版）中保存一个远程代码执行误差（CVE-2021-0276），，，，，其CVSS评分为9.8。。。

电信运营商通过SBR治理用户会见其网络的战略，，，，，通过集中用户认证、提供适当的会见级别并确保遵守清静战略。。。它使运营商能够提供差别化的效劳水平，，，，，并治理网络资源。。。

由于设置了EAP（可扩展认证协议）身份认证的Juniper Networks SBR中保存一个基于客栈的缓冲区溢出误差，，，，，攻击者可以使用此误差发送特定的数据包，，，，，导致radius守护历程瓦解，，，，，从而造成拒绝效劳（DoS）或远程代码执行（RCE）。。。

乐成使用此误差将导致电信提供商（包括无线运营商）面临网络效劳中止或其它危害。。。但该误差仅在使用增强型 EAP 日志和 TraceLevel 设置为 2 时影响设置了 EAP 身份验证的 SBR。。。

<SBR_Installed_Directory>/JNPRsbr/radius/radius.ini

[Logging]

LogLevel=2

TraceLevel=2

EnhancedEAPLogging = yes

影响规模

8.4.1 版本：< 8.4.1R19

8.5.0 版本：< 8.5.0R10

8.6.0 版本：< 8.6.0R4

0x02 处置惩罚建议

现在此误差已经修复，，，，，建议实时更新至SBR Carrier 8.4.1R19、8.5.0R10、8.6.0R4或更高版本。。。

下载链接：

https://support.juniper.net/support/downloads/

0x03 参考链接

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11180&cat=SIRT_1&actp=LIST

https://threatpost.com/critical-juniper-bug-dos-rce-carrier/167869/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0276

0x04 更新版本

版本	日期	修改内容
V1.0	2021-07-19	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于鉴黑担保网

关注以下公众号，，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】