发布日期：2022-01-14
更新日期：2022-05-17

受影响系统：

Arista Networks Arista Networks Arista EOS <= 4.26.1F
Arista Networks Arista Networks Arista EOS <= 4.25.4M
Arista Networks Arista Networks Arista EOS <= 4.24.6M
Arista Networks Arista Networks Arista EOS <= 4.23.8M
Arista Networks Arista Networks Arista EOS <= 4.22.11
Arista Networks Arista Networks Arista EOS <= 4.21.14

描述：

---

CVE(CAN) ID: CVE-2021-28500

Arista Networks Arista EOS是美国Arista Networks公司的一款应用于数据中心和云网络中心的可扩展操作系统。Arista EOS构建的云架构可扩展到数十万个计算和存储节点，并具有大规模工作的管理和配置功能，通过其可编程性，EOS可支持一系列应用程序。
Arista Networks Arista EOS多个版本存在授权错误漏洞，该漏洞源于OpenConfig和TerminAttr代理未正确使用EOS中的AAA API。本地攻击者可利用该漏洞通过无密码配置不受限制地访问设备。

<*链接：https://www.arista.com/en/support/advisories-notices/security-advisories/13449-security-advisory-007
*>

建议：

---

厂商补丁：

Arista Networks
---------------
Arista Networks已经为此发布了一个安全公告（13449-security-advisory-0071）以及相应补丁:
13449-security-advisory-0071：Security Advisory 0071
链接：https://www.arista.com/en/support/advisories-notices/security-advisories/13449-security-advisory-007

浏览次数：696
严重程度：0（网友投票）