Juniper Junos: 2024-04安全公告:Junos: MX Series with SPC3, 和SRX系列:当IPsec认证配置为“hmac-sha-384”和“hmac-sha-512”时，流量不进行认证(JSA79188) (CVE-2024-30391)

Description

针对MX系列带有SPC3版本的瞻博网络Junos操作系统的pfe (Packet Forwarding Engine)关键功能缺失鉴权漏洞, 和SRX系列允许未经身份验证的基于网络的攻击者对设备的完整性或可用性造成有限的影响. 如果设备配置了IPsec认证算法hmac-sha-384或hmac-sha-512, 隧道正常建立，但是经过隧道的流量在出口不发送加密数据的同时也不发送认证信息, 并且在进入时不需要任何身份验证信息. 因此，如果对等端是未受影响的设备，则传输流量将在两个方向上都失败. 如果对端也是受影响的设备，则传输正常, 但是没有认证, 配置和CLI操作命令表示已经认证. 该问题影响Junos操作系统: 20年前的所有版本.4R3-S7, 21.21之前的1个版本.1R3,  21.21之前的2个版本.2R2-S1, 21.2R3,  21.21年前的3个版本.3R1-S2, 21.3R2.