Уязвимость механизма маршрутизации Non-Stop Routing (NSR) операционных систем Juniper Networks Junos и JunOS Evolved связана с некорректной обработкой исключительных состояний при обработке сообщений BGP с атрибутом AS PATH (Autonomous system path). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Использование рекомендаций:
https://supportportal.juniper.net/JSA73150
Компенсирующие меры:
Следует ограничить длину атрибута AS PATH. Ниже приведен пример конфигурации ограничения длины до 30:
set groups BASE-POLICY policy-options policy-statement MaxAS-Limit-30 term more-than-30 from protocol bgp
set groups BASE-POLICY policy-options policy-statement MaxAS-Limit-30 term more-than-30 from as-path 31as
set groups BASE-POLICY policy-options policy-statement MaxAS-Limit-30 term more-than-30 then reject
set groups BASE-POLICY policy-options policy-statement MaxAS-Limit-30 then accept
set groups BASE-POLICY policy-options policy-statement Customer-IN term MaxAS-Limit from policy MaxAS-Limit-30
set groups BASE-BGP protocols bgp group <*-CUSTOMER> import Customer-IN
set groups BASE-PREFIX-LISTS policy-options as-path 31as ".{31,}"
| Балл | 7.8 — высокая опасность |