Informazioni sul CVE-2024-21601
Junos OS: SRX Series: Due to an error in processing TCP events flowd will crash
CWE ID: CWE-362
Base Score (CVSS): N/A
CVE: CVE-2024-21601
Descrizione: Un’esecuzione concorrente utilizzando un risorsa condivisa con una vulnerabilità di sincronizzazione errata (‘Race Condition’) nel Daemon di elaborazione del flusso (flowd) nella serie SRX di Juniper Networks Junos OS su dispositivi SRX permette a un attaccante non autenticato di causare una Interruzione di Servizio (DoS). Sulla serie SRX, quando due thread diversi cercano di elaborare la stessa coda utilizzata per eventi TCP, flowd crollerà. Uno di questi thread non può essere attivato esternamente, quindi l’esfiltrazione di questa condizione di sincronizzazione è al di fuori del controllo diretto dell’attaccante. L’ulteriore sfruttamento di questa vulnerabilità porterà a un DoS prolungato. Questo problema influisce su Juniper Networks Junos OS: * 21.2 versioni precedenti a 21.2R3-S5; * 21.3 versioni precedenti a 21.3R3-S5; * 21.4 versioni precedenti a 21.4R3-S4; * 22.1 versioni precedenti a 22.1R3-S3; * 22.2 versioni precedenti a 22.2R3-S1; * 22.3 versioni precedenti a 22.3R2-S2, 22.3R3; * 22.4 versioni precedenti a 22.4R2-S1, 22.4R3. Questo problema non influisce su versioni di Juniper Networks Junos OS precedenti a 21.2R1.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://supportportal.juniper.net/JSA75742
- https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L
Prodotti interessati
- Juniper Networks – Junos OS
Relazioni con altri prodotti
Produttore:Juniper Networks
Prodotto: Junos OS
Anno: 2024
CWE: CWE-362
CVSS: 0.0