CVE-2021-20027:SonicWall未认证拒绝服务漏洞

　　概述

　　咨询 ID：SNWLID-2021-0016

　　首次发布：2021-06-17

　　最近更新时间：2021-06-17

　　解决方法：错误的

　　地位：适用的

　　CVE：不适用

　　CWE：不适用

　　CVSS v：0

　　CVSS 向量：不适用

　　概括

　　SonicOS 中的缓冲区溢出漏洞允许远程攻击者通过发送特制请求来导致拒绝服务 (DoS)。此漏洞影响 SonicOS Gen5、Gen6、Gen7 平台和 SonicOSv 虚拟防火墙。

　　• SonicWall PSIRT 未知有任何对该漏洞的主动利用

　　• 在本公告发布时，尚未公开任何 PoC 报告

　　以下 SonicWall 产品受此漏洞影响图

　　解决方法

　　在可以应用以下补丁之前，SonicWall PSIRT 强烈建议管理员通过修改现有的 SonicOS 管理访问规则(SSH/HTTPS/HTTP 管理)来限制 SonicOS 管理访问受信任的来源(和/或禁用来自不受信任的互联网来源的管理访问)。这将只允许从受信任的源 IP 地址进行管理访问。

　　注释

　　该漏洞要求在 WAN/LAN 接口上启用 Web 管理，并且需要以正在进行的活动管理会话为前提。例如，管理员登录 Web 界面或配置 GMS/NSM 以通过 WAN 界面上的 HTTPS 管理防火墙。

　　在防火墙上禁用 WAN 管理时，下面列举的其他 GMS/NSM 管理模式不受影响。

　　防火墙上的 SSL-VPN 门户虚拟办公室不受影响。