Säkerhetsbulletin från Debian

DSA-3654-1 quagga -- säkerhetsuppdatering

Rapporterat den:
2016-08-26
Berörda paket:
quagga
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 822787, Fel 835223.
I Mitres CVE-förteckning: CVE-2016-4036, CVE-2016-4049, CVE-2016-4036, CVE-2016-4049.
Ytterligare information:

Två sårbarheter upptäcktes i quagga, en BGP/OSPF/RIP-routingdemon.

  • CVE-2016-4036

    Tamás Németh upptäckte att känlsiga konfigurationsfiler i /etc/quagga var läsbara av alla trots att de innehåller känslig information.

  • CVE-2016-4049

    Evgeny Uskov upptäckte att en bgpd-instans som hanterar många klienter kunde kraschas av en illasinnad användar vid förfrågan av route-dump.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.99.23.1-1+deb8u2.

Vi rekommenderar att ni uppgraderar era quagga-paket.