Qfx5220
Уязвимости
33
Эксплуатируемые
0
Макс. CVSS
8.7
Макс. EPSS
0.01288
Распределение по критичности
Критический
0
Высокий
17
Средний
16
Низкий
0
Также сопоставлено как (исходные строки): junos_os_evolved,junos
Топ уязвимостей
CVE-2024-47497Уязвимость Uncontrolled Resource Consumption в http-демоне (httpd) Juniper Networks Junos OS на SRX Series, QFX Series, MX Series и EX Series позволяет не прошедшему аутентификацию злоумышленнику в сети вызвать отказ в обслуживании (DoS).
Злоумышленник может отправлять определенные запросы на подключение HTTPS к устройству, что приведет к созданию процессов, которые не завершаются должным образом. Со временем это приводит к истощению ресурсов, что в конечном итоге приводит к сбою и перезапуску устройства.
Следующая команда может использоваться для мониторинга использования ресурсов:
user@host> show system processes extensive | match mgd | count
Эта проблема затрагивает Junos OS на SRX Series и EX Series:
Все версии до 21.4R3-S7,
с 22.2 до 22.2R3-S4,
с 22.3 до 22.3R3-S3,
с 22.4 до 22.4R3-S2,
с 23.2 до 23.2R2-S1,
с 23.4 до 23.4R1-S2, 23.4R2.
CVE-2021-0203На платформах Juniper Networks EX и QFX5K Series, настроенных с Redundant Trunk Group (RTG), профиль Storm Control, примененный к интерфейсу RTG, может не вступить в силу при достижении порогового условия. Storm Control позволяет устройству отслеживать уровни трафика и отбрасывать широковещательные, многоадресные и неизвестные одноадресные пакеты при превышении указанного уровня трафика, предотвращая, таким образом, распространение пакетов и ухудшение работы LAN. Примечание: эта проблема не затрагивает серии EX2200, EX3300, EX4200 и EX9200. Эта проблема затрагивает Juniper Networks Junos OS на сериях EX и QFX5K: версии 15.1 до 15.1R7-S7; версии 16.1 до 16.1R7-S8; версии 17.2 до 17.2R3-S4; версии 17.3 до 17.3R3-S8; версии 17.4 до 17.4R2-S11, 17.4R3-S2; версии 18.1 до 18.1R3-S10; версии 18.2 до 18.2R3-S5; версии 18.3 до 18.3R2-S4, 18.3R3-S2; версии 18.4 до 18.4R2-S5, 18.4R3-S3; версии 19.1 до 19.1R2-S2, 19.1R3-S2; версии 19.2 до 19.2R1-S5, 19.2R2-S1, 19.2R3; версии 19.3 до 19.3R2-S4, 19.3R3; версии 19.4 до 19.4R1-S3, 19.4R2-S1, 19.4R3; версии 20.1 до 20.1R1-S2, 20.1R2.
CVE-2025-30644Уязвимость переполнения буфера в куче (Heap-based Buffer Overflow) в flexible PIC concentrator (FPC) Junos OS на устройствах EX2300, EX3400, EX4100, EX4300, EX4300MP, EX4400, EX4600, EX4650-48Y и QFX5k Series позволяет злоумышленнику отправить специальный DHCP-пакет на устройство, что приводит к краху и перезапуску FPC, вызывая отказ в обслуживании (DoS). Продолжение получения и обработки этого пакета приведет к устойчивому отказу в обслуживании [1].
Источники:
- [1] https://supportportal.juniper.net/JSA96453
CVE-2024-21595Уязвимость Improper Validation of Syntactic Correctness of Input в Packet Forwarding Engine (PFE) Juniper Networks Junos OS позволяет злоумышленнику в сети, не прошедшему проверку подлинности, вызвать отказ в обслуживании (DoS).
Если злоумышленник отправляет высокую скорость определенного ICMP-трафика на устройство с настроенным VXLAN, это вызывает взаимоблокировку PFE и приводит к тому, что устройство перестает отвечать на запросы. Для восстановления устройства потребуется ручной перезапуск.
Эта проблема затрагивает только устройства EX4100, EX4400, EX4600, QFX5000 Series.
Эта проблема затрагивает:
Juniper Networks Junos OS
* 21.4R3 версии до 21.4R3-S4;
* 22.1R3 версии до 22.1R3-S3;
* 22.2R2 версии до 22.2R3-S1;
* 22.3 версии до 22.3R2-S2, 22.3R3;
* 22.4 версии до 22.4R2;
* 23.1 версии до 23.1R2.
CVE-2022-22174Уязвимость при обработке входящих IPv6-пакетов в Juniper Networks Junos OS на коммутаторах серий QFX5000 и EX4600 может привести к тому, что память не будет освобождена, что приведет к утечке памяти packet DMA и, в конечном итоге, к отказу в обслуживании (DoS). После возникновения этого состояния дальнейшая обработка пакетов будет нарушена, что создаст устойчивое состояние отказа в обслуживании (DoS). Следующие журналы ошибок можно наблюдать с помощью команды "show heap", и на устройстве может закончиться память, если такие пакеты будут получены непрерывно. Jan 12 12:00:00 device-name fpc0 (buf alloc) failed allocating packet buffer Jan 12 12:00:01 device-name fpc0 (buf alloc) failed allocating packet buffer user@device-name> request pfe execute target fpc0 timeout 30 command "show heap" ID Base Total(b) Free(b) Used(b) % Name -- ---------- ----------- ----------- ----------- --- ----------- 0 246fc1a8 536870488 353653752 183216736 34 Kernel 1 91800000 16777216 12069680 4707536 28 DMA 2 92800000 75497472 69997640 5499832 7 PKT DMA DESC 3 106fc000 335544320 221425960 114118360 34 Bcm_sdk 4 97000000 176160768 200 176160568 99 Packet DMA <<<<<<<<<<<<<< 5 903fffe0 20971504 20971504 0 0 Blob Эта проблема затрагивает Juniper Networks Junos OS на сериях QFX5000, EX4600: 18.3R3 версии до 18.3R3-S6; 18.4 версии до 18.4R2-S9, 18.4R3-S9; 19.1 версии до 19.1R2-S3, 19.1R3-S7; 19.2 версии до 19.2R1-S8, 19.2R3-S3; 19.3 версии до 19.3R2-S7, 19.3R3-S4; 19.4 версии до 19.4R2-S5, 19.4R3-S6; 20.1 версии до 20.1R3-S1; 20.2 версии до 20.2R3-S2; 20.3 версии до 20.3R3-S1; 20.4 версии до 20.4R3; 21.1 версии до 21.1R2-S1, 21.1R3; 21.2 версии до 21.2R1-S1, 21.2R2. Эта проблема не затрагивает Juniper Networks Junos OS: Любые версии до 17.4R3; 18.1 версии до 18.1R3-S6; 18.2 версии до 18.2R3; 18.3 версии до 18.3R3; 18.4 версии до 18.4R2; 19.1 версии до 19.1R2.
CVE-2021-0285Уязвимость неконтролируемого потребления ресурсов в Juniper Networks Junos OS на коммутаторах серий QFX5000 и EX4600 позволяет злоумышленнику, отправляющему большие объемы легитимного трафика, предназначенного для устройства, вызывать прерывания протокола Interchassis Control Protocol (ICCP), что приводит к нестабильному управляющему соединению между узлами Multi-Chassis Link Aggregation Group (MC-LAG), что, в свою очередь, может привести к потере трафика. Продолжающееся получение такого объема трафика приведет к устойчивому отказу в обслуживании (DoS). Признаком того, что система может быть подвержена этой проблеме, является следующее сообщение журнала: "DDOS_PROTOCOL_VIOLATION_SET: Warning: Host-bound traffic for protocol/exception LOCALNH:aggregate exceeded its allowed bandwidth at fpc <fpc number> for <n> times, started at <timestamp>" Эта проблема затрагивает Juniper Networks Junos OS на сериях QFX5000 и EX4600: 15.1 версий до 15.1R7-S9; 17.3 версий до 17.3R3-S11; 17.4 версий до 17.4R2-S13, 17.4R3-S5; 18.3 версий до 18.3R3-S5; 18.4 версий до 18.4R2-S8, 18.4R3-S7; 19.1 версий до 19.1R3-S5; 19.2 версий до 19.2R1-S6, 19.2R3-S2; 19.3 версий до 19.3R2-S6, 19.3R3-S2; 19.4 версий до 19.4R1-S4, 19.4R2-S4, 19.4R3-S2; 20.1 версий до 20.1R2-S2, 20.1R3; 20.2 версий до 20.2R2-S3, 20.2R3; 20.3 версий до 20.3R2; 20.4 версий до 20.4R1-S1, 20.4R2.
CVE-2021-0207Некорректное разрешение конфликта определенных данных между некоторыми программными компонентами в устройствах Juniper Networks Junos OS не позволяет определенному трафику проходить через устройство при получении с входящего интерфейса, фильтрующего определенные типы трафика, который затем перенаправляется на исходящий интерфейс в другой VLAN. Это вызывает отказ в обслуживании (DoS) для тех клиентов, которые отправляют эти конкретные типы трафика. Такой трафик, отправляемый клиентом, может казаться подлинным, но является нестандартным по своей природе и должен рассматриваться как потенциально вредоносный и может быть нацелен на устройство или предназначен для него, чтобы возникла проблема. Эта проблема затрагивает трафик IPv4 и IPv6. Индикатор компрометации можно найти, проверив файлы журналов. Вы можете обнаружить, что трафик на входном интерфейсе составляет 100% трафика, поступающего на устройство, но выходной интерфейс показывает 0 pps, покидающих устройство. Например: [show interfaces "interface" statistics detail] Вывод между двумя интерфейсами покажет что-то подобное: Ingress, first interface: -------------------- Interface Link Input packets (pps) Output packets (pps) et-0/0/0 Up 9999999999 (9999) 1 (0) -------------------- Egress, second interface: -------------------- Interface Link Input packets (pps) Output packets (pps) et-0/0/1 Up 0 (0) 9999999999 (0) -------------------- Отброшенные пакеты не будут отображаться в счетчиках мониторинга/защиты от DDoS, поскольку проблема не вызвана механизмами защиты от DDoS. Эта проблема затрагивает: Juniper Networks Junos OS: версии 17.3 до 17.3R3-S7 на NFX250, QFX5K Series, EX4600; версии 17.4 до 17.4R2-S11, 17.4R3-S3 на NFX250, QFX5K Series, EX4600; версии 18.1 до 18.1R3-S9 на NFX250, QFX5K Series, EX2300 Series, EX3400 Series, EX4600; версии 18.2 до 18.2R3-S3 на NFX250, QFX5K Series, EX2300 Series, EX3400 Series, EX4300 Multigigabit, EX4600; версии 18.3 до 18.3R3-S1 на NFX250, QFX5K Series, EX2300 Series, EX3400 Series, EX4300 Multigigabit, EX4600 Series; версии 18.4 до 18.4R1-S5, 18.4R2-S3, 18.4R3 на NFX250, QFX5K Series, EX2300 Series, EX3400 Series, EX4300 Multigigabit, EX4600 Series; версии 19.1 до 19.1R1-S5, 19.1R2-S1, 19.1R3 на NFX250, QFX5K Series, EX2300 Series, EX3400 Series, EX4300 Multigigabit, EX4600 Series; версии 19.2 до 19.2R1-S5, 19.2R2 на NFX250, QFX5K Series, EX2300 Series, EX3400 Series, EX4300 Multigigabit, EX4600 Series; версии 19.3 до 19.3R2-S3, 19.3R3 на NFX250, QFX5K Series, EX2300 Series, EX3400 Series, EX4300 Multigigabit, EX4600 Series; версии 19.4 до 19.4R1-S2, 19.4R2 на NFX250, NFX350, QFX5K Series, EX2300 Series, EX3400 Series, EX4300 Multigigabit, EX4600 Series. Эта проблема не затрагивает выпуски Junos OS до 17.2R2.
CVE-2020-1679На устройствах Juniper Networks PTX и QFX Series с настроенной выборкой пакетов с использованием tunnel-observation mpls-over-udp, выборка неправильно сформированного пакета может привести к зависанию очереди Kernel Routing Table (KRT). KRT — это модуль в Routing Process Daemon (RPD), который синхронизирует таблицы маршрутизации с таблицами пересылки в ядре. Затем эта таблица синхронизируется с Packet Forwarding Engine (PFE) через очередь KRT. Таким образом, когда очередь KRT зависает, это может привести к неожиданным проблемам с пересылкой пакетов. Администратор может отслеживать следующую команду, чтобы проверить, не зависла ли очередь KRT: user@device > show krt state ... Number of async queue entries: 65007 <--- this value keep on increasing. Когда возникает эта проблема, в /var/log/messages может появиться следующее сообщение: DATE DEVICE kernel: %KERN-3: rt_pfe_veto: Too many delayed route/nexthop unrefs. Op 2 err 55, rtsm_id 5:-1, msg type 2 DATE DEVICE kernel: %KERN-3: rt_pfe_veto: Memory usage of M_RTNEXTHOP type = (0) Max size possible for M_RTNEXTHOP type = (7297134592) Current delayed unref = (60000), Current unique delayed unref = (18420), Max delayed unref on this platform = (40000) Current delayed weight unref = (60000) Max delayed weight unref on this platform= (400000) curproc = rpd Эта проблема затрагивает Juniper Networks Junos OS на PTX/QFX Series: версии 17.2X75 до 17.2X75-D105; версии 18.1 до 18.1R3-S11; версии 18.2 до 18.2R3-S5; версии 18.2X75 до 18.2X75-D420, 18.2X75-D53, 18.2X75-D65; версии 18.3 до 18.3R2-S4, 18.3R3-S3; версии 18.4 до 18.4R1-S7, 18.4R2-S5, 18.4R3-S4; версии 19.1 до 19.1R2-S2, 19.1R3-S2; версии 19.2 до 19.2R1-S5, 19.2R3; версии 19.3 до 19.3R2-S3, 19.3R3; версии 19.4 до 19.4R1-S2, 19.4R2-S1, 19.4R3; версии 20.1 до 20.1R1-S2, 20.1R2. Эта проблема не затрагивает Juniper Networks Junos OS до версии 18.1R1.
CVE-2020-1638FPC (Flexible PIC Concentrator) Juniper Networks Junos OS и Junos OS Evolved может перезапуститься после обработки определенного пакета IPv4. Только пакеты, предназначенные для самого устройства, успешно достигающие RE посредством существующей фильтрации пограничного и управляющего уровня, смогут вызвать перезапуск FPC. Когда возникает эта проблема, весь трафик через FPC будет отброшен. Постоянно отправляя этот конкретный пакет IPv4, злоумышленник может неоднократно вызывать сбой FPC, вызывая продолжительный отказ в обслуживании (DoS). Эта проблема может возникнуть только при обработке определенного пакета IPv4. Пакеты IPv6 не могут вызвать эту проблему. Эта проблема затрагивает: Juniper Networks Junos OS на MX Series с MPC10E или MPC11E и PTX10001: 19.2 версии до 19.2R1-S4, 19.2R2; 19.3 версии до 19.3R2-S2, 19.3R3; 19.4 версии до 19.4R1-S1, 19.4R2. Juniper Networks Junos OS Evolved на сериях QFX5220 и PTX10003: версии 19.2-EVO; версии 19.3-EVO; версии 19.4-EVO до 19.4R2-EVO. Эта проблема не затрагивает версии Junos OS до 19.2R1. Эта проблема не затрагивает версии Junos OS Evolved до 19.2R1-EVO.
CVE-2021-0259Из-за уязвимости в защите от DDoS в Juniper Networks Junos OS и Junos OS Evolved на коммутаторах серии QFX5K в конфигурации VXLAN в базовой сети может наблюдаться нестабильность в результате превышения порогового значения агрегированной защиты от DDoS по умолчанию. Если злоумышленник на клиентском устройстве в сети оверлея отправляет большой объем определенного законного трафика в сети оверлея из-за неправильно обнаруженного нарушения DDoS, лист может не обрабатывать определенный трафик L2, отправленный spine в базовой сети. Продолжающийся прием и обработка большого объема трафика приведут к поддержанию состояния отказа в обслуживании (DoS). Эта проблема затрагивает: Juniper Networks Junos OS на QFX5K Series: версии 17.3 до 17.3R3-S11; версии 17.4 до 17.4R3-S5; версии 18.1 до 18.1R3-S13; версии 18.2 до 18.2R2-S8, 18.2R3-S8; версии 18.3 до 18.3R3-S5; версии 18.4 до 18.4R1-S8, 18.4R2-S6, 18.4R3-S6; версии 19.1 до 19.1R3-S4; версии 19.2 до 19.2R1-S6, 19.2R3-S2; версии 19.3 до 19.3R3-S2; версии 19.4 до 19.4R2-S4, 19.4R3-S1; версии 20.1 до 20.1R2; версии 20.2 до 20.2R2; версии 20.3 до 20.3R1-S2, 20.3R2. Juniper Networks Junos OS Evolved на QFX5220: все версии до 20.3R2-EVO.
CVE-2021-0217Уязвимость при обработке определенных DHCP-пакетов от смежных клиентов на коммутаторах серий EX и QFX под управлением Juniper Networks Junos OS с настроенным локальным/ретрансляционным DHCP-сервером может привести к исчерпанию памяти DMA, что вызовет отказ в обслуживании (DoS). Со временем эксплуатация этой уязвимости может привести к прекращению пересылки трафика или к сбою процесса fxpc. Когда использование кучи Packet DMA достигает 99%, система становится нестабильной. Использование кучи Packet DMA можно отслеживать с помощью следующей команды: user@junos# request pfe execute target fpc0 timeout 30 command "show heap" ID Base Total(b) Free(b) Used(b) % Name -- ---------- ----------- ----------- ----------- --- ----------- 0 213301a8 536870488 387228840 149641648 27 Kernel 1 91800000 8388608 3735120 4653488 55 DMA 2 92000000 75497472 74452192 1045280 1 PKT DMA DESC 3 d330000 335544320 257091400 78452920 23 Bcm_sdk 4 96800000 184549376 2408 184546968 99 Packet DMA <--- 5 903fffe0 20971504 20971504 0 0 Blob Признаком возникновения проблемы могут быть следующие сообщения журнала: Dec 10 08:07:00.124 2020 hostname fpc0 brcm_pkt_buf_alloc:523 (buf alloc) failed allocating packet buffer Dec 10 08:07:00.126 2020 hostname fpc0 (buf alloc) failed allocating packet buffer Dec 10 08:07:00.128 2020 hostname fpc0 brcm_pkt_buf_alloc:523 (buf alloc) failed allocating packet buffer Dec 10 08:07:00.130 2020 hostnameC fpc0 (buf alloc) failed allocating packet buffer Эта проблема затрагивает Juniper Networks Junos OS на сериях EX и QFX: версии 17.4R3 до 17.4R3-S3; версии 18.1R3 между 18.1R3-S6 и 18.1R3-S11; версии 18.2R3 до 18.2R3-S6; версии 18.3R3 до 18.3R3-S4; версии 18.4R2 до 18.4R2-S5; версии 18.4R3 до 18.4R3-S6; версии 19.1 между 19.1R2 и 19.1R3-S3; версии 19.2 до 19.2R3-S1; версии 19.3 до 19.3R2-S5, 19.3R3; версии 19.4 до 19.4R2-S2, 19.4R3; версии 20.1 до 20.1R2; версии 20.2 до 20.2R1-S2, 20.2R2. Версии Junos OS до 17.4R3 не подвержены этой уязвимости.
CVE-2026-33781Неправильная проверка уязвимости для необыкновенных или исключительных условий в механизме перенаправления пакетов (pfe) Juniper Networks Junos OS на конкретных устройствах EX и QFX серии позволяет неаутентичном, соседствующем злоумышленнику вызвать полное отрицание обслуживания (DoS).
На платформах EX4k и QFX5k, сконфигурированных как устройства с предоставлением услуг, если L2PT включен на UNI и VSTP включен в NNI в сценариях VXLAN, прием VSTP BPDU на UNI приводит к сбоев распределению пакетов буфера, в результате чего устройство больше не пропускает трафик, пока оно не будет вручную восстановлено с перезапуском.
* 24.4 выпуска до 24.4R2,
* 25.2 выпуска до 25.2R1-S1, 25.2R2.
Эта проблема не затрагивает выпуск Junos OS до 24.4R1.
CVE-2026-21910Неправильная проверка уязвимости для необыкновенных или исключительных обстоятельств в движке переадресации пакетов (PFE) Juniper Networks Junos OS на платформах серии EX4k и QFX5k серии позволяет неаутентифицированному злоумышленнику, примыкающим к сети, машет интерфейсом, чтобы заставить трафик между сетевыми идентификаторами VXLAN (VNI) упасть, что привело к отказу в обслуживании (DoS).
На всех платформах EX4k и QFX5k закрылок ссылки в
Конфигурация EVPN-VXLAN Link Aggregation Group (LAG)
приводит к падению трафика Inter-VNI, когда есть несколько сбалансированных маршрутов следующего прыжка для одного и того же пункта назначения.
Эта проблема применима только к системам, поддерживающим EVPN-VXLAN Virtual Port-Link Aggregation Groups (VPLAG), таким как QFX5110, QFX5120, QFX5200, EX4100, EX4300, EX4400 и EX4650.
Сервис может быть восстановлен только путем перезапуска пораженного FPC с помощью команды «запрос шасси fpc reart slot <slot-number>».
Эта проблема затрагивает Junos OS
серии EX4k и QFX5k:
* все версии перед 21.4R3-S12,
* все версии 22.2
* от 22.4 до 22.4R3-S8,
* от 23.2 до 23.2R2-S5,
* от 23.4 до 23.4R2-S5,
* от 24.2 до 24.2R2-S3,
* от 24.4 до 24.4R2.
CVE-2025-59969Буферная копия без проверки размера входа («Classic Buffer Overflow») в расширенном наборе инструментов пересылки (evo-aftmand/evo-pfemand) Juniper Networks Junos OS Evolved на серии PTX или QFX5000 серии позволяет неаутентифицированному, соседнему злоумышленнику вызвать отказ в обслуживании (DoS).Pffemand для сбоев и перезапуска или нелинейных карточных устройств для сбоев и перезапуска. Продолжение получения и обработки этих пакетов будет поддерживать состояние отказа в обслуживании (DoS).
Эта проблема затрагивает Junos OS Evolved PTX Series:
* Все версии перед 22.4R3-S8-EVO,
* от 23.2 до 23.2R2-S5-EVO,
* от 23.4 до 23.4R2-EVO,
* от 24.2 до 24.2R2-EVO,
* от 24.4 до 24.4R2-EVO.
Эта проблема затрагивает Junos OS Эволюция на QFX5000 серии:
* версия 22.2-EVO до 22.2R3-S7-EVO,
* версия 22.4-EVO до 22.4R3-S7-EVO,
* 23.2-EVO версии до 23.2R2-S4-EVO,
* 23.4-EVO версии до 23.4R2-S5-EVO,
* 24.2-EVO версии перед 24.2R2-S1-EVO,
* 24.4-EVO версии перед 24.4R1-S3-EVO, 24.4R2-EVO.
Этот выпуск не затрагивает Junos OS Evolved на версиях серии QFX5000 до: 21.2R2-S1-EVO, 21.2R3-EVO, 21.3R2-EVO, 21.4R1-EVO и 22.1R1-EVO.
CVE-2024-47498Уязвимость Unimplemented or Unsupported Feature в UI в CLI Juniper Networks Junos OS Evolved на QFX5000 Series позволяет не прошедшему аутентификацию злоумышленнику по соседству вызвать отказ в обслуживании (DoS).
Несколько операторов конфигурации, предназначенных для обеспечения ограничений на изучение и перемещение MAC-адресов, могут быть настроены, но не вступают в силу. Это может привести к перегрузке плоскости управления, что серьезно повлияет на способность устройства обрабатывать легитимный трафик.
Эта проблема затрагивает Junos OS Evolved на QFX5000 Series:
* Все версии до 21.4R3-S8-EVO,
* 22.2-EVO версии до 22.2R3-S5-EVO,
* 22.4-EVO версии до 22.4R3-EVO,
* 23.2-EVO версии до 23.2R2-EVO.
CVE-2024-30388Уязвимость Improper Isolation or Compartmentalization в Packet Forwarding Engine (pfe) Juniper Networks Junos OS на QFX5000 Series и EX Series позволяет неаутентифицированному смежному злоумышленнику вызвать отказ в обслуживании (DoS).
Если устройство QFX5000 Series или устройство EX4400, EX4100 или EX4650 Series получит определенный неправильно сформированный пакет LACP, произойдет сбой LACP, что приведет к потере трафика.
Эта проблема затрагивает Junos OS на QFX5000 Series и на EX4400, EX4100 или EX4650 Series:
* 20.4 версии с 20.4R3-S4 до 20.4R3-S8,
* 21.2 версии с 21.2R3-S2 до 21.2R3-S6,
* 21.4 версии с 21.4R2 до 21.4R3-S4,
* 22.1 версии с 22.1R2 до 22.1R3-S3,
* 22.2 версии до 22.2R3-S1,
* 22.3 версии до 22.3R2-S2, 22.3R3,
* 22.4 версии до 22.4R2-S1, 22.4R3.
CVE-2025-59957Уязвимость Origin Validation Error в недостаточно защищенном файле Juniper Networks Junos OS на серии EX4600 и серии QFX5000 позволяет неаудовлетворенному злоумышленнику с физическим доступом к устройству создать бэкдор, который позволяет полностью контролировать систему.
Когда устройство не настроено с корневым паролем, злоумышленник может изменить конкретный файл. Содержимое будет добавлено в конфигурацию устройства Junos без видимости. Это позволяет добавлять любую неизвестную конфигурацию.
к фактическому оператору, который включает пользователей, IP-адреса и другую конфигурацию, которая может позволить несанкционированный доступ к устройству.
Этот эксплойт устойчив по перезагрузкам и даже обнулением.
Индикатором компромисса является модифицированный /etc/config/<платформа>-дефолты[-flex].conf. Просмотрите этот файл для неожиданных конфигурационных операторов или сравните его с немодифицированной версией, которую можно извлечь из исходного файла изображения программного обеспечения Juniper. Для получения подробной информации о процедуре извлечения, пожалуйста, свяжитесь с Центром технической помощи Juniper (JTAC).
Чтобы восстановить устройство до надежной начальной конфигурации, система должна быть переустановлена из физических носителей.
Эта проблема затрагивает Junos OS на серии EX4600 и серии QFX5000:
* Все версии до 21.4R3,
* 22.2 версии до 22.2R3-S3.
CVE-2026-33773Неправильная инициализация уязвимости ресурсов в механизме переадресации пакетов (pfe) Juniper Networks Junos OS на конкретном устройстве серии EX Series и QFX позволяет неаффентированному сетевому злоумышленнику вызывать влияние на целостность в нисходных сетях.
Когда один и тот же интерфейс или фильтр inet6 наносится на интерфейс IRB и на физический интерфейс в качестве фильтра выхода на устройствах EX4100, EX4400, EX4650 и QFX5120, будет применяться только один из двух фильтров, что может привести к отправке трафика по одному из этих интерфейсов, которые должны были быть заблокированы.
Эта проблема затрагивает Junos OS в серии EX и QFX:
* 23.4 версия 23.4R2-S6,
* 24.2 версия 24.2R2-S3.
Никакие другие версии Junos OS не затронуты.
CVE-2024-39533Уязвимость типа "Не реализованная или неподдерживаемая функция в пользовательском интерфейсе" в Juniper Networks Junos OS на QFX5000 Series и EX4600 Series позволяет не прошедшему проверку подлинности сетевому злоумышленнику вызвать незначительное нарушение целостности в нижестоящих сетях. Если одно или несколько из следующих условий соответствия
ip-source-address
ip-destination-address
arp-type
которые не поддерживаются для этого типа фильтра, используются в фильтре коммутации Ethernet, а затем этот фильтр применяется в качестве выходного, конфигурация может быть зафиксирована, но фильтр не будет действовать.
Эта проблема затрагивает Junos OS на QFX5000 Series и EX4600 Series:
* Все версии до 21.2R3-S7,
* Версии 21.4 до 21.4R3-S6,
* Версии 22.1 до 22.1R3-S5,
* Версии 22.2 до 22.2R3-S3,
* Версии 22.3 до 22.3R3-S2,
* Версии 22.4 до 22.4R3,
* Версии 23.2 до 23.2R2.
Обратите внимание, что реализованное исправление гарантирует, что эти неподдерживаемые условия соответствия больше не могут быть зафиксированы.
CVE-2020-1618В Juniper Networks EX и QFX Series уязвимость обхода аутентификации может позволить пользователю, подключенному к консольному порту, войти в систему как root без пароля. Эта проблема может возникать только в определенных сценариях: • При первой перезагрузке после выполнения сброса устройства к заводским настройкам с помощью команды «request system zeroize»; или • Временный момент во время первой перезагрузки после обновления программного обеспечения, когда устройство настроено в режиме Virtual Chassis. Эта проблема затрагивает Juniper Networks Junos OS на EX и QFX Series: версии 14.1X53 до 14.1X53-D53; версии 15.1 до 15.1R7-S4; версии 15.1X53 до 15.1X53-D593; версии 16.1 до 16.1R7-S4; версии 17.1 до 17.1R2-S11, 17.1R3-S1; версии 17.2 до 17.2R3-S3; версии 17.3 до 17.3R2-S5, 17.3R3-S6; версии 17.4 до 17.4R2-S9, 17.4R3; версии 18.1 до 18.1R3-S8; версии 18.2 до 18.2R2; версии 18.3 до 18.3R1-S7, 18.3R2. Эта проблема не затрагивает Juniper Networks Junos OS 12.3.
CVE-2023-44203Неправильная проверка или обработка исключительных условий в подсистеме пересылки пакетов (pfe) Juniper Networks Junos OS на QFX5000 Series, EX2300, EX3400, EX4100, EX4400 и EX4600 позволяет смежному злоумышленнику отправлять определенный трафик, что приводит к лавинообразной пересылке пакетов, приводящей к отказу в обслуживании (DoS).
Когда определенный IGMP-пакет принимается в изолированной VLAN, он дублируется на все остальные порты в основной VLAN, что вызывает перегрузку.
Эта проблема затрагивает только платформы QFX5000 series, EX2300, EX3400, EX4100, EX4400 и EX4600.
Эта проблема затрагивает Juniper Junos OS на QFX5000 Series, EX2300, EX3400, EX4100, EX4400 и EX4600:
* Все версии до 20.4R3-S5;
* 21.1 версии до 21.1R3-S4;
* 21.2 версии до 21.2R3-S3;
* 21.3 версии до 21.3R3-S5;
* 21.4 версии до 21.4R3-S2;
* 22.1 версии до 22.1R3;
* 22.2 версии до 22.2R3;
* 22.3 версии до 22.3R2.
CVE-2023-22405Уязвимость Improper Preservation of Consistency Between Independent Representations of Shared State в Packet Forwarding Engine (PFE) Juniper Networks Junos OS позволяет смежному, не прошедшему проверку подлинности злоумышленнику вызвать отказ в обслуживании (DoS) устройства из-за нехватки ресурсов. Когда устройство настроено с переключением "service-provider/SP style", и на интерфейсе Aggregated Ethernet (ae) настроено ограничение mac, а затем PFE перезапускается или устройство перезагружается, ограничение mac больше не работает. Обратите внимание, что эта проблема может быть не очевидной, поскольку трафик будет продолжать проходить через устройство, хотя таблица mac и соответствующие журналы будут указывать на то, что лимит mac достигнут. Функциональность можно восстановить, удалив и повторно добавив конфигурацию ограничения MAC. Эта проблема затрагивает Juniper Networks Junos OS на сериях QFX5k, EX46xx Series: все версии до 20.2R3-S5; 20.3 версии до 20.3R3-S5; 20.4 версии до 20.4R3-S4; 21.1 версии до 21.1R3-S3; 21.2 версии до 21.2R3-S1; 21.3 версии до 21.3R3; 21.4 версии до 21.4R3; 22.1 версии до 22.1R2.
CVE-2022-22226В сценариях VxLAN на устройствах серий EX4300-MP, EX4600, QFX5000 уязвимость неконтролируемого выделения памяти в подсистеме пересылки пакетов (PFE) Juniper Networks Junos OS позволяет неаутентифицированному смежному злоумышленнику, отправляющему определенные пакеты, вызвать отказ в обслуживании (DoS), вызвав сбой одного или нескольких PFE при их получении и обработке устройством. После автоматического перезапуска PFE продолжение обработки этих пакетов приведет к повторному появлению утечки памяти. В зависимости от объема получаемых пакетов злоумышленник может создать устойчивый отказ в обслуживании (DoS). Эта проблема затрагивает: Juniper Networks Junos OS на EX4300-MP, EX4600, QFX5000 Series: 17.1 версия 17.1R1 и более поздние версии до 17.3R3-S12; версии 17.4 до 17.4R2-S13, 17.4R3-S5; версии 18.1 до 18.1R3-S13; версии 18.2 до 18.2R3-S8; версии 18.3 до 18.3R3-S5; версии 18.4 до 18.4R1-S8, 18.4R2-S6, 18.4R3-S6; версии 19.1 до 19.1R3-S4; версии 19.2 до 19.2R1-S7, 19.2R3-S1; версии 19.3 до 19.3R2-S6, 19.3R3-S1; версии 19.4 до 19.4R1-S4, 19.4R2-S4, 19.4R3-S1; версии 20.1 до 20.1R2; версии 20.2 до 20.2R2-S3, 20.2R3; версии 20.3 до 20.3R2. Эта проблема не затрагивает версии Junos OS до 17.1R1.
CVE-2022-22210Уязвимость типа "Разыменование нулевого указателя" в Packet Forwarding Engine (PFE) Juniper Networks Junos OS на QFX5000 Series и MX Series позволяет не прошедшему проверку подлинности смежному злоумышленнику вызвать отказ в обслуживании (DoS). На QFX5K Series и MX Series, когда PFE получает определенный пакет VxLAN, процесс Layer 2 Address Learning Manager (L2ALM) аварийно завершится, что приведет к перезагрузке FPC. Непрерывное получение этого конкретного пакета приведет к устойчивому отказу в обслуживании (DoS). Эта проблема затрагивает Juniper Networks Junos OS на QFX5000 Series, MX Series: 20.3 версии до 20.3R3-S3; 20.4 версии до 20.4R3-S2; 21.2 версии до 21.2R2-S1. Эта проблема не затрагивает Juniper Networks Junos OS: все версии до 20.3R1; 21.1 версия 21.1R1 и более поздние версии.
CVE-2022-22203Уязвимость типа "Неправильное сравнение" в PFE Juniper Networks Junos OS позволяет смежному не прошедшему проверку подлинности злоумышленнику вызвать отказ в обслуживании (DoS). На платформах QFX5000 Series и EX4600 и EX4650 процесс fxpc аварийно завершится с последующей перезагрузкой FPC при получении определенного хост-ориентированного пакета. Непрерывное получение этих конкретных пакетов приведет к устойчивому отказу в обслуживании (DoS). Эта проблема затрагивает только Juniper Networks Junos OS 19.4 версии 19.4R3-S4.