安全公告 NCSC-2025-0374 [1.0.0]
发布日期:2025年11月20日 12:48(欧洲/阿姆斯特丹)
优先级:正常
涉及内容:Arista EOS漏洞修复
漏洞特征
- 输入验证不当
- 权限管理不当
- 输入语法正确性验证不当
漏洞描述
Arista已修复Arista EOS平台中的多个漏洞。这些漏洞与畸形消息处理相关,可能导致系统崩溃和拒绝服务状况。具有高权限的攻击者可利用这些漏洞,造成严重的运营中断。
此外,向CVX系统发送随机字节可能导致ControllerOob代理重启,同样可能引发拒绝服务。Arista EOS平台还存在影响IPsec系统的漏洞,导致数据平面停止处理所有IPsec流量。这可能需要进行系统重置,且无法保证流量处理能够恢复。恶意攻击者无需认证即可利用此漏洞。
最后,经过认证的Redis会话可获得CVX集群内所有服务器的完整root访问权限,这对安全性构成严重威胁。
解决方案
Arista已发布更新以修复这些漏洞。更多信息请参阅附带的参考资料。
参考资料
- https://www.arista.com/en/support/advisories-notices/security-advisory/22868-security-advisory-0126
- https://www.arista.com/en/support/advisories-notices/security-advisory/22869-security-advisory-0127
CVE编号
- CVE-2025-5089 - CVSS (v3) 6.5
- CVE-2025-5090 - CVSS (v3) 6.5
- CVE-2025-8873 - CVSS (v3) 7.5
- CVE-2025-5088 - CVSS (v3) 8.3
受影响产品
- Arista Networks
- EOS
免责声明
荷兰国家网络安全中心(以下简称:NCSC-NL)维护此页面以增强对其信息和安全公告的访问。使用此安全公告需遵守以下条款和条件:
NCSC-NL尽一切合理努力确保此页面内容保持最新、准确和完整。然而,NCSC-NL不能完全排除错误的可能性,因此不能保证其完整性、准确性或持续更新。此安全公告中包含的信息仅用于向专业用户提供一般信息。不得从所提供的信息中衍生任何权利。
NCSC-NL和荷兰王国对因使用或无法使用此安全公告而导致的任何损害不承担法律责任或责任。这包括因公告中信息不准确或不完整而造成的损害。
此安全公告受荷兰法律管辖。与使用此公告相关或由此产生的所有争议将提交给海牙有管辖权的法院。此选择也适用于简易程序法院。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
