Informazioni sul CVE-2024-30397
Junos OS: An invalid certificate causes a Denial of Service in the Internet Key Exchange (IKE) process
CWE ID: CWE-754
Base Score (CVSS): N/A
CVE: CVE-2024-30397
Descrizione: Un controllo errato per condizioni insolite o eccezionali nella vulnerabilità del Public Key Infrastructure (pkid) del Juniper Networks Junos OS permette a un attaccante di rete non autenticato di causare un Denial of Service (DoS). Il pkid è responsabile della verifica dei certificati. In caso di errore di verifica, il pkid utilizza tutte le risorse CPU e diventa non responsivo a future tentativi di verifica. Questo significa che tutte le successive negoziazioni VPN in base alla verifica dei certificati falliranno. Questo utilizzo della CPU del pkid può essere controllato con questo comando: root@srx> show system processes extensive | match pkid xxxxx root 103 0 846M 136M CPU1 1569:00 100.00% pkid Questo problema si applica a: Juniper Networks Junos OS * Versioni precedenti a 20.4R3-S10; * Versioni 21.2 precedenti a 21.2R3-S7; * Versioni 21.4 precedenti a 21.4R3-S5; * Versioni 22.1 precedenti a 22.1R3-S4; * Versioni 22.2 precedenti 22.2R3-S3; * Versioni 22.3 precedenti 22.3R3-S1; * Versioni 22.4 precedenti 22.4R3; * Versioni 23.2 precedenti 23.2R1-S2, 23.2R2.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://supportportal.juniper.net/JSA79179
- https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L
Prodotti interessati
- Juniper Networks – Junos OS
Relazioni con altri prodotti
Produttore:Juniper Networks
Prodotto: Junos OS
Anno: 2024
CWE: CWE-754
CVSS: 0.0