BDU:2020-05679

Опубликовано: 24 сент. 2020

Источник: fstec

CVSS3: 6.1

CVSS2: 5.4

EPSS Низкий

Описание

Уязвимость реализации протокола многопротокольного пограничного шлюза (MP-BGP) для семейства адресов VPN уровня 2 (L2VPN), Ethernet VPN (EVPN) в операционных системах Cisco IOS и Cisco IOS XE связана с ошибками при обработке сообщений обновления протокола пограничного шлюза (BGP). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco IOS XE

Cisco IOS

Версия ПО

3.9E (Cisco IOS XE)

16.11 (Cisco IOS XE)

17.2 (Cisco IOS XE)

3.10E (Cisco IOS XE)

15.4SY (Cisco IOS)

15.5SY (Cisco IOS)

15.6SN (Cisco IOS)

15.6M (Cisco IOS)

15.2E (Cisco IOS)

16.12 (Cisco IOS XE)

15.2EB (Cisco IOS)

15.1SVS (Cisco IOS)

3.11E (Cisco IOS XE)

17.1 (Cisco IOS XE)

от 15.7M до 15.9M включительно (Cisco IOS)

15.3JK (Cisco IOS)

15.1SVR (Cisco IOS)

от 16.3 до 16.5 включительно (Cisco IOS XE)

от 16.6 до 16.10 включительно (Cisco IOS XE)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Cisco Systems Inc. Cisco IOS XE 3.9E

Cisco Systems Inc. Cisco IOS XE 16.11

Cisco Systems Inc. Cisco IOS XE 17.2

Cisco Systems Inc. Cisco IOS XE 3.10E

Cisco Systems Inc. Cisco IOS 15.4SY

Cisco Systems Inc. Cisco IOS 15.5SY

Cisco Systems Inc. Cisco IOS 15.6SN

Cisco Systems Inc. Cisco IOS 15.6M

Cisco Systems Inc. Cisco IOS 15.2E

Cisco Systems Inc. Cisco IOS XE 16.12

Cisco Systems Inc. Cisco IOS 15.2EB

Cisco Systems Inc. Cisco IOS 15.1SVS

Cisco Systems Inc. Cisco IOS XE 3.11E

Cisco Systems Inc. Cisco IOS XE 17.1

Cisco Systems Inc. Cisco IOS от 15.7M до 15.9M включительно

Cisco Systems Inc. Cisco IOS 15.3JK

Cisco Systems Inc. Cisco IOS 15.1SVR

Cisco Systems Inc. Cisco IOS XE от 16.3 до 16.5 включительно

Cisco Systems Inc. Cisco IOS XE от 16.6 до 16.10 включительно

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-bgp-evpn-dos-LNfYJxfF

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-3479
CVE

EPSS

Процентиль: 60%

0.0039

Низкий

6.1 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

CVE-2020-3479

CVSS3: 6.1

nvd

больше 5 лет назад

A vulnerability in the implementation of Multiprotocol Border Gateway Protocol (MP-BGP) for the Layer 2 VPN (L2VPN) Ethernet VPN (EVPN) address family in Cisco IOS Software and Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition. The vulnerability is due to incorrect processing of Border Gateway Protocol (BGP) update messages that contain crafted EVPN attributes. An attacker could exploit this vulnerability by sending BGP update messages with specific, malformed attributes to an affected device. A successful exploit could allow the attacker to cause an affected device to crash, resulting in a DoS condition.

GHSA-2x7q-2hq7-j42j

CVSS3: 7.5

github

больше 3 лет назад