Arista Networks EOS Multiple Vulnerabilities (SA0019)
high Nessus Plugin ID 107061
語系:
概要
遠端裝置上執行的 Arista Networks EOS 版本受到多個弱點影響。說明
遠端裝置上執行的 Arista Networks EOS 版本受到多個弱點影響:- 在 NTP 中,檔案 ntpd/ntp_proto.c 的 receive() 函式中有一個缺陷存在,具有零原始時間戳記的封包可藉以繞過安全性檢查。未經驗證的遠端攻擊者可惡意利用此缺陷偽造任意內容。(CVE-2015-8138) - 處理具有偽造來源位址且與現有相關聯對等相符的特製 Crypto NAK 封包時,有一個缺陷存在。未經驗證的遠端攻擊者可加以惡意利用,除去用戶端關聯,進而導致拒絕服務情形。(CVE-2016-1547) - 處理經過偽造、看似來自有效 ntpd 伺服器的封包時,NTP 中有一個缺陷存在,這可能導致切換到交錯對稱模式。未經驗證的遠端攻擊者可加以惡意利用,透過具有偽造時間戳記的封包,造成用戶端拒絕日後的合法伺服器回應,進而導致拒絕服務情形。(CVE-2016-1548) - 處理短暫關聯的飽和期間時,NTP 中有一個缺陷存在。經驗證的遠端攻擊者可加以惡意利用來破解時鐘選取演算法,進而修改受害者的時鐘。(CVE-2016-1549) - 在 NTP 中,libntp 的訊息驗證功能中有一個缺陷存在,此缺陷會在處理一系列特製訊息時遭到觸發。未經驗證的遠端攻擊者可惡意利用此弱點,部分復原訊息摘要金鑰。(CVE-2016-1550)解決方案
請連絡供應商取得修正版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 107061
檔案名稱: arista_eos_sa0019.nasl
版本: 1.8
類型: combined
系列: Misc.
已發布: 2018/2/28
已更新: 2020/3/13
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 6.4
時間分數: 4.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
CVSS 評分資料來源: CVE-2016-1548
CVSS v3
風險因素: High
基本分數: 7.2
時間分數: 6.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/o:arista:eos
必要的 KB 項目: Host/Arista-EOS/Version
可輕鬆利用: No known exploits are available
弱點發布日期: 2015/10/17
參考資訊
CVE: CVE-2015-8138, CVE-2016-1547, CVE-2016-1548, CVE-2016-1549, CVE-2016-1550
BID: 81811, 88200, 88261, 88264, 88276
CERT: 718152