Arista Networks EOS Multiple Vulnerabilities (SA0019)
high Nessus 插件 ID 107061
语言:
简介
远程设备上运行的 Arista Networks EOS 版本受到多个漏洞的影响。描述
远程设备上运行的 Arista Networks EOS 版本受到多个漏洞的影响:- 在 NTP 中,文件 ntpd/ntp_proto.c 的 receive() 函数中存在缺陷,允许具有零来源时间戳的数据包绕过安全检查。未经身份验证的远程攻击者可利用此问题欺骗任意内容。(CVE-2015-8138) - 处理具有伪造源地址且与现有对等关联相符的特制 Crypto NAK 数据包时,存在缺陷。未经身份验证的远程攻击者可利用此问题解除客户端关联,从而导致拒绝服务情况。(CVE-2016-1547) - 处理经过伪造、看似来自有效 ntpd 服务器的数据包时,NTP 中存在一个缺陷,这可能导致切换到交错对等模式。未经身份验证的远程攻击者可利用此问题,通过具有伪造时间戳的数据包,造成客户端拒绝日后的合法服务器响应,进而导致拒绝服务情况。(CVE-2016-1548) - 处理短暂关联饱和度时,NTP 中存在缺陷。经身份验证的远程攻击者可利用此问题破解时钟选择算法,并修改受害者时钟。(CVE-2016-1549) - libntp 的消息验证功能的 NTP 中存在一个缺陷,在处理一系列特制的消息时可触发。未经身份验证的远程攻击者可利用此问题,部分恢复消息摘要密钥。(CVE-2016-1550)解决方案
请联系供应商获取修复版本。另见
插件详情
严重性: High
ID: 107061
文件名: arista_eos_sa0019.nasl
版本: 1.8
类型: combined
系列: Misc.
发布时间: 2018/2/28
最近更新时间: 2020/3/13
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 4.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
CVSS 分数来源: CVE-2016-1548
CVSS v3
风险因素: High
基本分数: 7.2
时间分数: 6.3
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:arista:eos
必需的 KB 项: Host/Arista-EOS/Version
易利用性: No known exploits are available
漏洞发布日期: 2015/10/17
参考资料信息
CVE: CVE-2015-8138, CVE-2016-1547, CVE-2016-1548, CVE-2016-1549, CVE-2016-1550
BID: 81811, 88200, 88261, 88264, 88276
CERT: 718152