Juniper Junos: 2024-04安全公告:Junos OS和Junos Evolved:在EVPN-VXLAN场景中相邻系统的状态更改可能导致l2ald进程崩溃(JSA79184) (CVE-2024-30386)

Description

第二层地址学习守护进程(l2ald)中的Use-After-Free漏洞 Juniper Networks的Junos OS和Junos Evolved允许未经身份验证, 相邻的攻击者导致l2ald崩溃，从而导致拒绝服务(DoS). 在EVPN-VXLAN场景下，当 状态更新由受影响的系统接收和处理, 某些加工步骤的正确顺序不能保证, 哪一种会导致服务器崩溃并重新启动. 是否发生崩溃取决于攻击者无法控制的系统内部定时. 此问题影响: Junos OS:  * 20年前的所有版本.4R3-S8, * 21.21之前的2个版本.2R3-S6, * 21.21年前的3个版本.3R3-S5, * 21.21之前的4个版本.4R3-S4, * 22.1版本22之前.1R3-S3, * 22.22之前的2个版本.2R3-S1, * 22.22之前的3个版本.3R3,, * 22.22之前的4个版本.4R2; Junos OS的演变:  * 20年前的所有版本.4R3-S8-EVO, * 21.21年前的2-EVO版本.2R3-S6-EVO,  * 21.3-EVO 版本21之前.3R3-S5-EVO, * 21.4-EVO 版本21之前.4R3-S4-EVO, * 22.1-EVO 22以前的版本.1R3-S3-EVO, * 22.2-EVO 22以前的版本.2R3-S1-EVO, * 22.3-EVO 22以前的版本.3R3-EVO, * 22.4-EVO 22以前的版本.4R2-EVO.