Уязвимость BDU:2022-06326

Дата: 14.09.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-06326.

Наименование уязвимости: Уязвимость функции широкополосного сетевого шлюза PPP over Ethernet (PPPoE) операционной системы Cisco IOS XR, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции широкополосного сетевого шлюза PPP over Ethernet (PPPoE) операционной системы Cisco IOS XR связана с непроверенным состоянием ошибки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки последовательности определенных пакетов PPPoE
Уязвимое ПО: Операционная система Cisco Systems Inc. Cisco IOS XR до 6.8 включительно | Операционная система Cisco Systems Inc. Cisco IOS XR до 6.8 включительно | Операционная система Cisco Systems Inc. Cisco IOS XR от 7.1 до 7.4 включительно | Операционная система Cisco Systems Inc. Cisco IOS XR от 7.1 до 7.4 включительно | Операционная система Cisco Systems Inc. Cisco IOS XR от 7.5 до 7.5.2 | Операционная система Cisco Systems Inc. Cisco IOS XR от 7.5 до 7.5.2 |

Наименование ОС и тип аппаратной платформы: Cisco IOS XR до 68 включительно ASR 9000 Series Aggregation Services Routers | Cisco IOS XR до 68 включительно IOS XRv 9000 Router | Cisco IOS XR от 71 до 74 включительно IOS XRv 9000 Router | Cisco IOS XR от 71 до 74 включительно ASR 9000 Series Aggregation Services Routers | Cisco IOS XR от 75 до 752 IOS XRv 9000 Router | Cisco IOS XR от 75 до 752 ASR 9000 Series Aggregation Services Routers |
Дата выявления: 14.09.2022.
CVSS 2.0: AV:A/AC:H/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-bng-Gmg5Gxt
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-20849.
Прочая информация: Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь возможность контролировать последовательность пакетов PPPoE, отправляемых на шлюз широкополосной сети. Последовательность пакетов не соответствует стандартам RFC.
Тип ошибки CWE: CWE-391
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-bng-Gmg5Gxt

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *