Debians sikkerhedsbulletin

DSA-3654-1 quagga -- sikkerhedsopdatering

Rapporteret den:
26. aug 2016
Berørte pakker:
quagga
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 822787, Fejl 835223.
I Mitres CVE-ordbog: CVE-2016-4036, CVE-2016-4049, CVE-2016-4036, CVE-2016-4049.
Yderligere oplysninger:

To sårbarheder blev opdaget i quagga, en BGP-/OSPF-/RIP-routingdæmon.

  • CVE-2016-4036

    Tamás Németh opdagede at følsomme opsætningsfiler i /etc/quagga var læsbare for alle, på trods af at de indeholdt følsomme oplysninger.

  • CVE-2016-4049

    Evgeny Uskov opdagede at en bgpd-instans, som håndterer mange peers, kunne bringes til at gå ned af en ondsindet bruger, når der blev forespurgt om et route-dump.

I den stabile distribution (jessie), er disse problemer rettet i version 0.99.23.1-1+deb8u2.

Vi anbefaler at du opgraderer dine quagga-pakker.