Cisco IOS XR 软件 BGP EVPN DoS (cisco-sa-20200122-ios-xr-evpn)
high Nessus 插件 ID 133409
语言:
简介
远程设备缺少供应商提供的安全修补程序描述
根据其自我报告的版本,Cisco IOS XR 软件在实现边界网关协议 (BGP) 以太网 VPN (EVPN) 功能时受到多个拒绝服务 (DoS) 漏洞的影响。这是由于未正确处理包含构建的 EVPN 属性的 BGP 更新消息所致。未经身份验证的远程攻击者可通过发送 BGP EVPN 更新消息利用这些问题,该消息具有要由受影响系统处理的畸形属性。若成功利用此漏洞,攻击者就可以使 BGP 进程意外重启,进而导致 DoS 情况。
要利用这些漏洞,恶意 BGP 更新消息需要来自已配置的有效 BGP 对等机,或者需要由攻击者在与 BGP 对等机的现有有效 TCP 连接上,将其注入受害者 BGP 网络。
若要了解更多信息,请参见所附的 Cisco BID 和 Cisco 安全公告
解决方案
升级到 Cisco 缺陷 ID CSCvr74413、CSCvr74986、CSCvr80793、CSCvr83742、CSCvr84254 中提及的相关修复版本。另见
http://www.nessus.org/u?9ecf9b5c
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvr74413
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvr74986
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvr80793
插件详情
严重性: High
ID: 133409
文件名: cisco-sa-20200122-ios-xr-evpn.nasl
版本: 1.16
类型: combined
系列: CISCO
发布时间: 2020/1/31
最近更新时间: 2022/5/18
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2019-16023
CVSS v3
风险因素: High
基本分数: 8.6
时间分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2019-16022
漏洞信息
CPE: cpe:/o:cisco:ios_xr
必需的 KB 项: Host/Cisco/IOS-XR/Version
易利用性: No known exploits are available
补丁发布日期: 2020/1/22
漏洞发布日期: 2020/1/22
参考资料信息
CVE: CVE-2019-16019, CVE-2019-16020, CVE-2019-16021, CVE-2019-16022, CVE-2019-16023
CISCO-SA: cisco-sa-20200122-ios-xr-evpn
IAVA: 2020-A-0041-S
CISCO-BUG-ID: CSCvr74413, CSCvr74986, CSCvr80793, CSCvr83742, CSCvr84254