Vulnerability Details : CVE-2021-31367
A Missing Release of Memory after Effective Lifetime vulnerability in the Packet Forwarding Engine (PFE) of Juniper Networks Junos OS on PTX Series allows an adjacent attacker to cause a Denial of Service (DoS) by sending genuine BGP flowspec packets which cause an FPC heap memory leak. Once having run out of memory the FPC will crash and restart along with a core dump. Continued receipted of these packets will create a sustained Denial of Service (DoS) condition. This issue affects: Juniper Networks Junos OS All versions prior to 18.4R3-S9; 19.1 versions prior to 19.1R3-S7; 19.2 versions prior to 19.2R1-S7, 19.2R3-S3; 19.3 versions prior to 19.3R2-S6, 19.3R3-S3; 19.4 versions prior to 19.4R1-S4, 19.4R3-S6; 20.1 versions prior to 20.1R2-S2, 20.1R3; 20.2 versions prior to 20.2R3-S1; 20.3 versions prior to 20.3R3; 20.4 versions prior to 20.4R3; 21.1 versions prior to 21.1R2. Juniper Networks Junos Evolved is not affected.
Vulnerability category: Denial of service
Products affected by CVE-2021-31367
- cpe:2.3:o:juniper:junos:18.4:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:-:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r1-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:-:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r1-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r1-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r1-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r1-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r1-s5:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r1-s6:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r1-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r1-s5:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:-:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:-:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r1-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r1-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r1-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r2-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r1-s7:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s5:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r3-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r3-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r2-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r2-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r1-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.1:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.1:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.1:r1-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.1:r1-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s5:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r1-s5:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s6:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.3:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r1-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r3-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r2-s5:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.1:r1-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s6:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r3-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r3-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r3-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r1-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.1:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.1:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r2-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.4:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.3:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.4:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r2-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r1-s6:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r1-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r2-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s7:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s7:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r3-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r1-s6:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.3:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r2-s8:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.3:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r3-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:18.4:r3-s8:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:21.1:r1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.4:r2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.2:r3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:20.4:r2-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r3-s3:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:21.1:r1-s1:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r3-s4:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.3:r3-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.2:r3-s2:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r3-s5:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.1:r3-s6:*:*:*:*:*:*
- cpe:2.3:o:juniper:junos:19.4:r3-s5:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2021-31367
0.08%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 21 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2021-31367
| Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
|---|---|---|---|---|---|---|
|
2.9
|
LOW | AV:A/AC:M/Au:N/C:N/I:N/A:P |
5.5
|
2.9
|
NIST | |
|
6.5
|
MEDIUM | CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
2.8
|
3.6
|
Juniper Networks, Inc. |
CWE ids for CVE-2021-31367
-
The product does not sufficiently track and release allocated memory after it has been used, making the memory unavailable for reallocation and reuse.Assigned by:
- nvd@nist.gov (Primary)
- sirt@juniper.net (Secondary)
References for CVE-2021-31367
-
https://kb.juniper.net/JSA11229
2021-10 Security Bulletin: Junos OS: PTX Series: An FPC heap memory leak will be triggered by certain Flowspec route operations which can lead to an FPC crash (CVE-2021-31367) - Juniper NetworksPatch;Vendor Advisory
Jump to