Vulnerabilidad en la funcionalidad Network Time Protocol (NTP) de Cisco NX-OS Software (CVE-2019-1967)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
30/08/2019
Última modificación:
16/10/2020
Descripción
Una vulnerabilidad en la funcionalidad Network Time Protocol (NTP) de Cisco NX-OS Software, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido al uso excesivo de los recursos del sistema cuando el dispositivo afectado está registrando una acción de caída para los paquetes NTP MODE_PRIVATE (Modo 7) recibidos. Un atacante podría explotar esta vulnerabilidad inundando el dispositivo con un flujo constante de paquetes NTP de Modo 7. Una explotación con éxito podría permitir al atacante causar un uso elevado de CPU y memoria en el dispositivo afectado, lo que podría causar que los procesos internos del sistema se reinicien o causar que el dispositivo afectado se recargue inesperadamente. Nota: La funcionalidad NTP está habilitada por defecto.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:cisco:nx-os:6.2:*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:7.3:*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:8.1:*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:8.2:*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:8.3:*:*:*:*:*:*:* | ||
cpe:2.3:h:cisco:mds_9000:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:cisco:mds_9100:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:cisco:mds_9140:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:cisco:mds_9200:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:cisco:mds_9500:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:cisco:mds_9700:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:6.0\(2\)a8\(9.7\):*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:6.0\(2\)u6:*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:7.0\(3\)i:*:*:*:*:*:*:* | ||
cpe:2.3:o:cisco:nx-os:9.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página