鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Juniper Networks Junos OS拒绝效劳误差（CVE-2023-22396）

宣布时间 2023-01-13

0x00 误差概述

CVE ID	CVE-2023-22396	发明时间	2023-01-13
类型	拒绝效劳	等级	高危
远程使用	是	所需权限	无
攻击重漂后	低	用户交互	无
PoC/EXP		在野使用

0x01 误差详情

Juniper Networks（瞻博网络）是全球领先的网络和清静解决计划提供商，，，，其客户包括全球规模内的网络运营商、企业、政府机构以及研究和教育机构等。。。

1月11日，，，，Juniper Networks宣布清静通告，，，，修复了Junos OS中的一个拒绝效劳误差（CVE-2023-22396），，，，该误差的CVSSv3评分为7.5。。。

Juniper Networks Junos OS的路由引擎 (RE) 上的 TCP 处置惩罚中保存不受控制的资源消耗误差，，，，可以在未经身份验证的情形下向受影响装备发送恶意制作的TCP 数据包，，，，导致 MBUF走漏，，，，并最终造成拒绝效劳。。。

影响规模

12.3版本：>= 12.3R12-S19

15.1版本：>= 15.1R7-S10

17.3版本：>= 17.3R3-S12

18.4版本：>= 18.4R3-S9

19.1版本：>= 19.1R3-S7

19.2版本：>= 19.2R3-S3

19.3版本：19.3R2-S7、19.3R3-S3到19.3R3-S7之前的版本

19.4版本：19.4R2-S7、19.4R3-S5到19.4R3-S10之前的版本

20.1版本：>= 20.1R3-S1

20.2版本：20.2R3-S2、20.2R3-S6之前的版本

20.3版本：20.3R3-S1、20.3R3-S6之前的版本

20.4版本：20.4R2-S2、20.4R3到 20.4R3-S5之前的版本

21.1版本：21.1R2、21.1R3-S4之前的版本

21.2版本：21.2R1-S1、21.2R2到21.2R3-S3之前的版本

21.3版本：< 21.3R3-S2

21.4版本：< 21.4R3

22.1版本：< 22.1R2-S1、22.1R3

22.2版本：< 22.2R1-S2、22.2R2

22.3版本：< 22.3R1-S1、22.3R2

0x02 清静建议

现在该误差已经修复，，，，受影响用户可实时升级到Junos OS 19.3R3-S7、19.4R3-S10、20.2R3-S6、20.3R3-S6、20.4R3-S5、21.1R3-S4、21.2R3-S3、 21.3R3-S2、21.4R3、22.1R2-S1、22.1R3、22.2R1-S2、22.2R2、22.2R3、22.3R1-S1、22.3R2、22.4R1或之后宣布的更高版本。。。

下载链接：

https://support.juniper.net/support/downloads/

暂时缓解步伐：

可以使用会见列表或防火墙过滤器来限制仅从受信任的治理网络或主时机见装备。。。

注：当恶意TCP数据包被直接发送到装备上设置的IPv4或IPv6接口时容易受该误差影响，，，，中转流量不会触发此误差。。。且被攻击系统不会自动恢复，，，，必需手动重启才华恢复效劳。。。

可以通过使用show system buffers下令来监视 MBUF 使用情形，，，，例如：

user@junos> show system buffers | refresh 5

4054/566/4620 mbufs in use (current/cache/total)

...

4089/531/4620 mbufs in use (current/cache/total)

...

4151/589/4740 mbufs in use (current/cache/total)

...

4213/527/4740 mbufs in use (current/cache/total)

0x03 参考链接

https://supportportal.juniper.net/s/article/2023-01-Security-Bulletin-Junos-OS-Receipt-of-crafted-TCP-packets-on-Ethernet-console-port-results-in-MBUF-leak-leading-to-Denial-of-Service-DoS-CVE-2023-22396?language=en_US

https://nvd.nist.gov/vuln/detail/CVE-2023-22396

0x04 版本信息

版本	日期	修改内容
V1.0	2023-01-13	首次宣布

0x05 附录

鉴黑担保网简介

鉴黑担保网建设于1996年，，，，是由留美博士严望佳女士建设的、拥有完全自主知识产权的信息清静高科技企业。。。是海内最具实力的信息清静产品、清静效劳解决计划的领航企业之一。。。

公司总部位于北京市中关村软件园鉴黑担保网大厦，，，，公司员工6000余人，，，，研发团队1200余人, 手艺效劳团队1300余人。。。在天下各省、市、自治区设立分支机构六十多个，，，，拥有笼罩天下的销售系统、渠道系统和手艺支持系统。。。公司于2010年6月23日在深圳中小板挂牌上市。。。（股票代码：002439）

多年来，，，，鉴黑担保网致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳，，，，资助客户周全提升其IT基础设施的清静性和生产效能，，，，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。。

关于鉴黑担保网

鉴黑担保网清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。。。

关注以下公众号，，，，获取全球最新清静资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】