BDU:2023-01641

Опубликовано: 22 фев. 2023

Источник: fstec

CVSS3: 7.4

CVSS2: 6.1

EPSS Низкий

Описание

Уязвимость реализации протокола Link Layer Discovery Protocol (LLDP) операционной системы Cisco NX-OS коммутаторов Cisco Nexus 9000 Series Fabric Switches в режиме ACI связана с ошибками освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки постоянного потока специально созданных пакетов LLDP

Вендор

Cisco Systems Inc.

Наименование ПО

NX-OS

Версия ПО

15.2(1g) (NX-OS)

15.2(2e) (NX-OS)

15.2(2f) (NX-OS)

15.2(2g) (NX-OS)

15.2(2h) (NX-OS)

15.2(3e) (NX-OS)

15.2(3f) (NX-OS)

15.2(3g) (NX-OS)

15.2(4d) (NX-OS)

15.2(4e) (NX-OS)

15.2(5c) (NX-OS)

15.2(5d) (NX-OS)

15.2(5e) (NX-OS)

15.2(4f) (NX-OS)

16.0(1g) (NX-OS)

16.0(1j) (NX-OS)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Cisco Systems Inc. NX-OS 15.2(1g)

Cisco Systems Inc. NX-OS 15.2(2e)

Cisco Systems Inc. NX-OS 15.2(2f)

Cisco Systems Inc. NX-OS 15.2(2g)

Cisco Systems Inc. NX-OS 15.2(2h)

Cisco Systems Inc. NX-OS 15.2(3e)

Cisco Systems Inc. NX-OS 15.2(3f)

Cisco Systems Inc. NX-OS 15.2(3g)

Cisco Systems Inc. NX-OS 15.2(4d)

Cisco Systems Inc. NX-OS 15.2(4e)

Cisco Systems Inc. NX-OS 15.2(5c)

Cisco Systems Inc. NX-OS 15.2(5d)

Cisco Systems Inc. NX-OS 15.2(5e)

Cisco Systems Inc. NX-OS 15.2(4f)

Cisco Systems Inc. NX-OS 16.0(1g)

Cisco Systems Inc. NX-OS 16.0(1j)

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aci-lldp-dos-ySCNZOpX#vp

Компенсирующие меры:

отключить LLDP на всех интерфейсах, где он не требуется.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-20089
CVE

EPSS

Процентиль: 33%

0.00129

Низкий

7.4 High

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

CVE-2023-20089

CVSS3: 7.4

nvd

почти 3 года назад

A vulnerability in the Link Layer Discovery Protocol (LLDP) feature for Cisco Nexus 9000 Series Fabric Switches in Application Centric Infrastructure (ACI) Mode could allow an unauthenticated, adjacent attacker to cause a memory leak, which could result in an unexpected reload of the device. This vulnerability is due to incorrect error checking when parsing ingress LLDP packets. An attacker could exploit this vulnerability by sending a steady stream of crafted LLDP packets to an affected device. A successful exploit could allow the attacker to cause a memory leak, which could result in a denial of service (DoS) condition when the device unexpectedly reloads. Note: This vulnerability cannot be exploited by transit traffic through the device. The crafted LLDP packet must be targeted to a directly connected interface, and the attacker must be in the same broadcast domain as the affected device (Layer 2 adjacent). In addition, the attack surface for this vulnerability can be reduced by dis

GHSA-qg8x-2gcc-v7rf

CVSS3: 6.5

github

почти 3 года назад

EPSS

Процентиль: 33%

0.00129

Низкий

7.4 High

CVSS3

6.1 Medium

CVSS2