CVE-2023-40457

CVSS

No CVSS.

he BGP daemon in Extreme Networks ExtremeXOS (aka EXOS) 30.7.1.1 allows an attacker (who is not on a directly connected network) to cause a denial of service (BGP session reset) because of BGP attribute error mishandling (for attribute 21 and 25). NOTE: the vendor disputes this because it is "evaluating support for RFC 7606 as a future feature" and believes that "customers that have chosen to not require or implement RFC 7606 have done so willingly and with knowledge of what is needed to defend against these types of attacks."

References

Link	Resource
https://blog.benjojo.co.uk/asset/JgH8G5duO1
https://blog.benjojo.co.uk/post/bgp-path-attributes-grave-error-handling
https://supportdocs.extremenetworks.com/support/documentation/extremexos-32-5/

Configurations

No configuration.

History

12 Nov 2024, 18:35

Type	Values Removed	Values Added
CWE		CWE-209

12 Nov 2024, 13:55

Type	Values Removed	Values Added
Summary		(es) El daemon BGP en Extreme Networks ExtremeXOS (también conocido como EXOS) 30.7.1.1 permite que un atacante (que no está en una red conectada directamente) provoque una denegación de servicio (reinicio de sesión BGP) debido a un manejo incorrecto de errores de atributos BGP (para los atributos 21 y 25). NOTA: el proveedor lo niega porque está "evaluando la compatibilidad con RFC 7606 como una característica futura" y cree que "los clientes que han optado por no requerir o implementar RFC 7606 lo han hecho voluntariamente y con conocimiento de lo que se necesita para defenderse contra este tipo de ataques".

11 Nov 2024, 00:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-11-11 00:15

Updated : 2024-11-12 18:35

NVD link : CVE-2023-40457

Mitre link : CVE-2023-40457

CVE.ORG link : CVE-2023-40457

JSON object : View

Products Affected

No product.

CWE

CWE-209

Generation of Error Message Containing Sensitive Information

JSON object

Attach tags to CVE-2023-40457

Attach tags to `CVE-2023-40457`